forum.opennet.ru - "ipfw2 не хочет натить клиентов openvpn с tap0" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw2 не хочет натить клиентов openvpn с tap0"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
Сообщение от Arigab (ok) on 18-Мрт-14, 17:41
Приветствую! Понадобилось на рабочий роутер с mpd5 вкорячить еще и openvpn, решил сделать "красиво", сделал bridge0, из em1 и tap0, em0 - внешний. Nat был сделан через ipfw и все прекрасно работало до того момента, пока я не попытался выпустить клиентов с tap0 через em0, ну не хочет и все, затыкается на айпишнике em0... мучался мучался, поставил ipnat, через него все начало работать, но я хочу через ipfw :-) что я упустил? openvpn в режиме бриджа и по протоколу tcp -f flush add allow icmp from any to me add allow icmp from any to any via em1 add allow icmp from any to any via tap0 add allow icmp from any to any via tun0 add allow icmp from any to any via ng0 add allow icmp from any to any via bridge0 add allow ip from any to any via lo0 add deny ip from any to 127.0.0.0/8 add deny ip from 127.0.0.0/8 to any #add allow all from any to any via em0 add allow all from any to any via em1 add allow all from any to any via tap0 add allow all from any to any via tun0 add allow all from any to any via bridge0 add allow ip from any to any via ng0 nat 1 config log if em0 reset same_ports add nat 1 ip from any to any via em0
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw2 не хочет натить клиентов openvpn с tap0, PavelR, 17:48 , 18-Мрт-14, (1)

ipfw2 не хочет натить клиентов openvpn с tap0, Arigab, 17:59 , 18-Мрт-14, (2)

ipfw2 не хочет натить клиентов openvpn с tap0, PavelR, 18:06 , 18-Мрт-14, (3)

ipfw2 не хочет натить клиентов openvpn с tap0, Arigab, 09:26 , 19-Мрт-14, (6)

ipfw2 не хочет натить клиентов openvpn с tap0, DN, 10:26 , 19-Мрт-14, (7)

ipfw2 не хочет натить клиентов openvpn с tap0, DN, 18:53 , 18-Мрт-14, (4)

ipfw2 не хочет натить клиентов openvpn с tap0, PavelR, 22:44 , 18-Мрт-14, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от PavelR (ok) on 18-Мрт-14, 17:48

> -f flush
Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
Может на мысли какие наведет...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от Arigab (ok) on 18-Мрт-14, 17:59

>> -f flush
> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
> Может на мысли какие наведет...
Что не так с правилами? счетчики "бегут" в почти каждой строке правил в обе стороны, может конечно есть излишки, но мне так удобнее.
00100   3866   245436 allow icmp from any to me
00200     58     4086 allow icmp from any to any via em1
00300     16      980 allow icmp from any to any via tap0
00400      0        0 allow icmp from any to any via tun0
00500    503    35952 allow icmp from any to any via ng0
00600      0        0 allow icmp from any to any via bridge0
00700     34     2616 allow ip from any to any via lo0
00800      0        0 deny ip from any to 127.0.0.0/8
00900      0        0 deny ip from 127.0.0.0/8 to any
01000 109813  4896634 allow ip from any to any via em1
01100  16967 11189288 allow ip from any to any via tap0
01200      0        0 allow ip from any to any via tun0
01300   2400   208768 allow ip from any to any via bridge0
01400   4942   696096 allow ip from any to any via ng0
03000 160203 31665878 nat 1 ip from any to any via em0
65535     20     1462 deny ip from any to any

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от PavelR (ok) on 18-Мрт-14, 18:06

>>> -f flush
>> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
>> Может на мысли какие наведет...
> Что не так с правилами? счетчики "бегут" в почти каждой строке правил
> в обе стороны, может конечно есть излишки, но мне так удобнее.
да не, нормально.

ну тогда tcpdump вам в помощь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от Arigab (ok) on 19-Мрт-14, 09:26

>>>> -f flush
>>> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками?
>>> Может на мысли какие наведет...
>> Что не так с правилами? счетчики "бегут" в почти каждой строке правил
>> в обе стороны, может конечно есть излишки, но мне так удобнее.
> да не, нормально.
> ну тогда tcpdump вам в помощь.
tcpdump показывает, что пакеты идут, но я не вдавался в их содержимое. Я опишу проблему другими словами. Nat через ipfw построен, как видно из конфига, без привязки к сетям и интерфейсам (кроме внешнего em0) и прекрасно работает для внутренних em1, ng0, ....
но при тех же условиях не хочет работать для tap0
трассировка с клиента доходит максимум до внешнего айпи на em0 и там тухнет, шлюз за em0 уже не доступен, что показывает что нат не работает. Вот я и спросил, может ли у ipfw nat терки с tap? Потому что поставив банальный ipnat, ничего не меняя вообще ни в ipfw, ни в openvpn, ни где-то еще - клиенты с tap0 легко занатились и вышли в инет вместе с остальными.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от DN (ok) on 19-Мрт-14, 10:26

> но при тех же условиях не хочет работать для tap0
> трассировка с клиента доходит максимум до внешнего айпи на em0 и там
> тухнет, шлюз за em0 уже не доступен, что показывает что нат
> не работает. Вот я и спросил, может ли у ipfw nat
> терки с tap? Потому что поставив банальный ipnat, ничего не меняя
> вообще ни в ipfw, ни в openvpn, ни где-то еще -
> клиенты с tap0 легко занатились и вышли в инет вместе с
> остальными.
Добавьте log временно
add nat 1 log logamount 0 ip from any to any out recv tap0 xmit em0
add nat 1 ip from any to any via em0

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

4. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от DN (ok) on 18-Мрт-14, 18:53

> 03000 160203 31665878 nat 1 ip from any to any via em0
> 65535     20     1462 deny ip from any to any
Если параметр ядра net.inet.ip.fw.one_pass=0 , то ваши правила работать не будут.
Посмотрите пример формирования правил firewall_type="simple" в /etc/rc.firewall

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "ipfw2 не хочет натить клиентов openvpn с tap0" +/–

Сообщение от PavelR (ok) on 18-Мрт-14, 22:44

моя телепатия говорит мне, что net.inet.ip.fw.one_pass=1 :
>03000 160203 31665878 nat 1 ip from any to any via em0
>65535     20     1462 deny ip from any to any

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
Сообщение от PavelR (ok) on 18-Мрт-14, 17:48
> -f flush Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками? Может на мысли какие наведет...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
	Сообщение от Arigab (ok) on 18-Мрт-14, 17:59
	>> -f flush > Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками? > Может на мысли какие наведет... Что не так с правилами? счетчики "бегут" в почти каждой строке правил в обе стороны, может конечно есть излишки, но мне так удобнее. 00100 3866 245436 allow icmp from any to me 00200 58 4086 allow icmp from any to any via em1 00300 16 980 allow icmp from any to any via tap0 00400 0 0 allow icmp from any to any via tun0 00500 503 35952 allow icmp from any to any via ng0 00600 0 0 allow icmp from any to any via bridge0 00700 34 2616 allow ip from any to any via lo0 00800 0 0 deny ip from any to 127.0.0.0/8 00900 0 0 deny ip from 127.0.0.0/8 to any 01000 109813 4896634 allow ip from any to any via em1 01100 16967 11189288 allow ip from any to any via tap0 01200 0 0 allow ip from any to any via tun0 01300 2400 208768 allow ip from any to any via bridge0 01400 4942 696096 allow ip from any to any via ng0 03000 160203 31665878 nat 1 ip from any to any via em0 65535 20 1462 deny ip from any to any
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
	Сообщение от PavelR (ok) on 18-Мрт-14, 18:06
	>>> -f flush >> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками? >> Может на мысли какие наведет... > Что не так с правилами? счетчики "бегут" в почти каждой строке правил > в обе стороны, может конечно есть излишки, но мне так удобнее. да не, нормально. ну тогда tcpdump вам в помощь.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
	Сообщение от Arigab (ok) on 19-Мрт-14, 09:26
	>>>> -f flush >>> Правила - жжесть. Вы не пробовали "ipfw show" посмотреть, вместе со счетчиками? >>> Может на мысли какие наведет... >> Что не так с правилами? счетчики "бегут" в почти каждой строке правил >> в обе стороны, может конечно есть излишки, но мне так удобнее. > да не, нормально. > ну тогда tcpdump вам в помощь. tcpdump показывает, что пакеты идут, но я не вдавался в их содержимое. Я опишу проблему другими словами. Nat через ipfw построен, как видно из конфига, без привязки к сетям и интерфейсам (кроме внешнего em0) и прекрасно работает для внутренних em1, ng0, .... но при тех же условиях не хочет работать для tap0 трассировка с клиента доходит максимум до внешнего айпи на em0 и там тухнет, шлюз за em0 уже не доступен, что показывает что нат не работает. Вот я и спросил, может ли у ipfw nat терки с tap? Потому что поставив банальный ipnat, ничего не меняя вообще ни в ipfw, ни в openvpn, ни где-то еще - клиенты с tap0 легко занатились и вышли в инет вместе с остальными.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
	Сообщение от DN (ok) on 19-Мрт-14, 10:26
	> но при тех же условиях не хочет работать для tap0 > трассировка с клиента доходит максимум до внешнего айпи на em0 и там > тухнет, шлюз за em0 уже не доступен, что показывает что нат > не работает. Вот я и спросил, может ли у ipfw nat > терки с tap? Потому что поставив банальный ipnat, ничего не меняя > вообще ни в ipfw, ни в openvpn, ни где-то еще - > клиенты с tap0 легко занатились и вышли в инет вместе с > остальными. Добавьте log временно add nat 1 log logamount 0 ip from any to any out recv tap0 xmit em0 add nat 1 ip from any to any via em0
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	4. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
	Сообщение от DN (ok) on 18-Мрт-14, 18:53
	> 03000 160203 31665878 nat 1 ip from any to any via em0 > 65535 20 1462 deny ip from any to any Если параметр ядра net.inet.ip.fw.one_pass=0 , то ваши правила работать не будут. Посмотрите пример формирования правил firewall_type="simple" в /etc/rc.firewall
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "ipfw2 не хочет натить клиентов openvpn с tap0"	+/–
	Сообщение от PavelR (ok) on 18-Мрт-14, 22:44
	моя телепатия говорит мне, что net.inet.ip.fw.one_pass=1 : >03000 160203 31665878 nat 1 ip from any to any via em0 >65535 20 1462 deny ip from any to any
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору