The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите настроить VPN + PF"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Помогите настроить VPN + PF"  +/
Сообщение от lemurid (ok) on 26-Авг-10, 10:44 
Есть сервер и интернет от Корбины (билайн).
Настроил mpd5 и.т.д все соединяется и.т.д все хорошо, но все пакеты посылаемые клиентами подключающимися по VPN исчезают в недрах pf... (по tcpdump их видно на интерфейсе ng1). Домашняя сеть 172.16.5.х vpn сервер раздает с диапазона 200, остальное isc-dhcp
Вот pf.conf
ext_if="rl0" (Внешний интерфейс)
wan_if="ng0" (ВПН соединение к корбине для интернета)
int_if="bridge0" (Два локальных интерфейса в сервере обслуживающие локальную сеть)
vpn_if="ng1"
vbox_if="vboxnet0" (Это инетрфейс virtualboxа)
Extr_if="{ng0 rl0}"
icmp_types="{echoreq, unreach}"
NoRouteIPs = "{ 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8 }"

set block-policy drop
set loginterface $wan_if
set skip on lo0
set optimization conservative

scrub in all
scrub out on $wan_if random-id max-mss 1460

#  NAT
nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -> ($ext_if)
nat on $wan_if proto { tcp udp icmp gre } from $int_if:network to any -> ($wan_if)
rdr pass on $wan_if proto tcp from any to any port 25 -> 172.16.5.7

block all

pass out on $ext_if from ($ext_if) to any
pass out on $wan_if from ($wan_if) to any

antispoof log quick for { lo0, $int_if, $ext_if, $wan_if }

block in on $Extr_if from $NoRouteIPs to any
block in on $Extr_if from any to $NoRouteIPs

pass out on $Extr_if from ($int_if) to any
pass out on $Extr_if from ($vbox_if) to any

pass in on $wan_if inet proto tcp from any to any port 1723
pass in on $wan_if inet proto gre from any to any

pass in on $wan_if proto tcp from any to ($wan_if) port { 80 450 7071 }

pass log inet proto icmp all icmp-type $icmp_types

pass quick on $int_if
pass quick on $vpn_if
pass quick on $vbox_if

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите настроить VPN + PF"  +/
Сообщение от lemurid (ok) on 26-Авг-10, 12:48 
Добавлю что если pf незагрузить (к примеру синтаксическая ошибка) пинги начинают свободно ходить от VPN клиента к серверу (
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Помогите настроить VPN + PF"  +/
Сообщение от reader (ok) on 26-Авг-10, 13:04 
>Добавлю что если pf незагрузить (к примеру синтаксическая ошибка) пинги начинают свободно
>ходить от VPN клиента к серверу (

ну так уберите правила фильтра и проверьте что будет

у pf есть ограничения по работе с gre

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Помогите настроить VPN + PF"  +/
Сообщение от alexpn (ok) on 30-Авг-10, 04:13 
А где пропуск протокола GRE
оставь одно правило и смотри логи
pass all log
например
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Помогите настроить VPN + PF"  +/
Сообщение от dimanoname (ok) on 30-Авг-10, 16:12 
>А где пропуск протокола GRE
>оставь одно правило и смотри логи
>pass all log
>например

а что обязательно заморачиваться на гре-протоколе? у меня mpd+pf и без этого работал. в правилах ната я бы написал какие подсети натить о внешнюю локалку rl0(если для всех остальных данный сервак не является шлюзом по-умолчанию), а все остальное - заворачивать на ng1. а потом уже фильтрами поэтапно пропускать/отсеивать нужное/ненужное

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Помогите настроить VPN + PF"  +/
Сообщение от Кирилл_Н (ok) on 30-Авг-10, 16:29 
>>А где пропуск протокола GRE
>>оставь одно правило и смотри логи
>>pass all log
>>например
>
>а что обязательно заморачиваться на гре-протоколе? у меня mpd+pf и без этого
>работал. в правилах ната я бы написал какие подсети натить о
>внешнюю локалку rl0(если для всех остальных данный сервак не является шлюзом
>по-умолчанию), а все остальное - заворачивать на ng1. а потом уже
>фильтрами поэтапно пропускать/отсеивать нужное/ненужное

попробуйте натить пакеты не из локальной сети ($int_if:network), а из ng1. после подключения по впн ходить клиенты в интернет будут через впн соединение, соответственно и пакеты будут приходить оттуда. натить гре протокол не обязательно, у вас ведь пользователи не собираются устанавливать впн соединения с внешним миром. да и где-то на опеннете видел статью, что пф не правильно это делает и натить гре надо через ipfw и natd

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру