The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipfw2 не хочет натить клиентов openvpn с tap0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от Arigab (ok) on 18-Мрт-14, 17:41 
Приветствую!

Понадобилось на рабочий роутер с mpd5 вкорячить еще и openvpn, решил сделать "красиво", сделал bridge0, из em1 и tap0, em0 - внешний.

Nat был сделан через ipfw и все прекрасно работало до того момента, пока я не попытался выпустить клиентов с tap0 через em0, ну не хочет и все, затыкается на айпишнике em0... мучался мучался, поставил ipnat, через него все начало работать, но я хочу через ipfw :-) что я упустил?

openvpn в режиме бриджа и по протоколу tcp

-f flush

add allow icmp from any to me
add allow icmp from any to any via em1
add allow icmp from any to any via tap0
add allow icmp from any to any via tun0
add allow icmp from any to any via ng0
add allow icmp from any to any via bridge0

add allow ip from any to any via lo0

add deny ip from any to 127.0.0.0/8
add deny ip from 127.0.0.0/8 to any

#add allow all from any to any via em0
add allow all from any to any via em1
add allow all from any to any via tap0
add allow all from any to any via tun0
add allow all from any to any via bridge0

add allow ip from any to any via ng0

nat 1 config log if em0 reset same_ports
add nat 1 ip from any to any via em0

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от PavelR (ok) on 18-Мрт-14, 17:48 

> -f flush

Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
Может на мысли какие наведет...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от Arigab (ok) on 18-Мрт-14, 17:59 
>> -f flush
> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
> Может на мысли какие наведет...

Что не так с правилами? счетчики "бегут" в почти каждой строке правил в обе стороны, может конечно есть излишки, но мне так удобнее.

00100   3866   245436 allow icmp from any to me
00200     58     4086 allow icmp from any to any via em1
00300     16      980 allow icmp from any to any via tap0
00400      0        0 allow icmp from any to any via tun0
00500    503    35952 allow icmp from any to any via ng0
00600      0        0 allow icmp from any to any via bridge0
00700     34     2616 allow ip from any to any via lo0
00800      0        0 deny ip from any to 127.0.0.0/8
00900      0        0 deny ip from 127.0.0.0/8 to any
01000 109813  4896634 allow ip from any to any via em1
01100  16967 11189288 allow ip from any to any via tap0
01200      0        0 allow ip from any to any via tun0
01300   2400   208768 allow ip from any to any via bridge0
01400   4942   696096 allow ip from any to any via ng0
03000 160203 31665878 nat 1 ip from any to any via em0
65535     20     1462 deny ip from any to any

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от PavelR (ok) on 18-Мрт-14, 18:06 
>>> -f flush
>> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
>> Может на мысли какие наведет...
> Что не так с правилами? счетчики "бегут" в почти каждой строке правил
> в обе стороны, может конечно есть излишки, но мне так удобнее.

да не, нормально.

ну тогда tcpdump вам в помощь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от Arigab (ok) on 19-Мрт-14, 09:26 
>>>> -f flush
>>> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
>>> Может на мысли какие наведет...
>> Что не так с правилами? счетчики "бегут" в почти каждой строке правил
>> в обе стороны, может конечно есть излишки, но мне так удобнее.
> да не, нормально.
> ну тогда tcpdump вам в помощь.

tcpdump показывает, что пакеты идут, но я не вдавался в их содержимое. Я опишу проблему другими словами. Nat через ipfw построен, как видно из конфига, без привязки к сетям и интерфейсам (кроме внешнего em0) и прекрасно работает для внутренних em1, ng0, ....
но при тех же условиях не хочет работать для tap0

трассировка с клиента доходит максимум до внешнего айпи на em0 и там тухнет, шлюз за em0 уже не доступен, что показывает что нат не работает. Вот я и спросил, может ли у ipfw nat терки с tap? Потому что поставив банальный ipnat, ничего не меняя вообще ни в ipfw, ни в openvpn, ни где-то еще - клиенты с tap0 легко занатились и вышли в инет вместе с остальными.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от DN (ok) on 19-Мрт-14, 10:26 
> но при тех же условиях не хочет работать для tap0
> трассировка с клиента доходит максимум до внешнего айпи на em0 и там
> тухнет, шлюз за em0 уже не доступен, что показывает что нат
> не работает. Вот я и спросил, может ли у ipfw nat
> терки с tap? Потому что поставив банальный ipnat, ничего не меняя
> вообще ни в ipfw, ни в openvpn, ни где-то еще -
> клиенты с tap0 легко занатились и вышли в инет вместе с
> остальными.

Добавьте log временно
add nat 1 log logamount 0 ip from any to any out recv tap0 xmit em0
add nat 1 ip from any to any via em0

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

4. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от DN (ok) on 18-Мрт-14, 18:53 
> 03000 160203 31665878 nat 1 ip from any to any via em0
> 65535     20     1462 deny ip from any to any

Если параметр ядра net.inet.ip.fw.one_pass=0 , то ваши правила работать не будут.
Посмотрите пример формирования правил firewall_type="simple" в /etc/rc.firewall

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "ipfw2 не хочет натить клиентов openvpn с tap0"  +/
Сообщение от PavelR (ok) on 18-Мрт-14, 22:44 
моя телепатия говорит мне, что net.inet.ip.fw.one_pass=1 :

>03000 160203 31665878 nat 1 ip from any to any via em0
>65535     20     1462 deny ip from any to any

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру