Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: theoldman в Oct 24, 2006, 11:20
Първо здравейте на всички.
Имам следната задача:
Слижил съм рутер със FreeBSD 5.4 на входа на офиса.
Интернета идва по VPN канал, който осъществявам чрез mpd. Вътрешната мрежа на офиса е с адреси 192.168.ххх.ххх. Преносната среда на доставчика е с адреси 10.10.ххх.ххх.
Доставчика има free сървърче, което е с адрес в областта 10.10.ххх.ххх.
и сега идва въпросът ми: Какво правила да задам в ipnat-а, за да мога да "отскачам" до free сървъра на доставчика? Защото като дам map ng0 192.168.0.0/24 -> 0.0.0.0/32 (щото си нямам реален IP адрес), трафика се пренасочва към реалния ми IP адрес, който ми дава досатвчика. Имам нет, ама няма достъп до 10.10.ххх.ххх, щото този сървър не се вижда отвън?
Ако задам map ng0 192.168.0.0/24 -> 10.10.2.100 (туй ми е "фалшивито" IP, дет ми го е дал доставчика), няма да мога да излизам в големия зъл интернет, щото ще пренасочвам всички заявки към фалшив адрес.
Изобщо ако някой е решавал въпроси с VPN + IPNAT + IPF, моля да постне някои примерни файлове за ipnat.rules и ipfw.rules (или както там си ги е кръстил).
А, и друг въпрос пак в тази насока - мога ли по някакъв начин да свържа две локални мрежи в два офиса, които са клиенти на един доставчик така, че да могат да си map-ват дисковете от windows -а? Т.е. да се рутират пакетите от 192.168.0.ххх -> 10.10.0.100 ->10.0.1.100 -> 192.168.1.ххх (най-примерно), като 192.168.ххх.ххх са адреси от офисните мрежи, а 10.10.ххх.ххх - тези на доставчика. Ама без да се пускат VPN сървъри и разни такива сложни нещица, ако може
Имам следната задача:
Слижил съм рутер със FreeBSD 5.4 на входа на офиса.
Интернета идва по VPN канал, който осъществявам чрез mpd. Вътрешната мрежа на офиса е с адреси 192.168.ххх.ххх. Преносната среда на доставчика е с адреси 10.10.ххх.ххх.
Доставчика има free сървърче, което е с адрес в областта 10.10.ххх.ххх.
и сега идва въпросът ми: Какво правила да задам в ipnat-а, за да мога да "отскачам" до free сървъра на доставчика? Защото като дам map ng0 192.168.0.0/24 -> 0.0.0.0/32 (щото си нямам реален IP адрес), трафика се пренасочва към реалния ми IP адрес, който ми дава досатвчика. Имам нет, ама няма достъп до 10.10.ххх.ххх, щото този сървър не се вижда отвън?
Ако задам map ng0 192.168.0.0/24 -> 10.10.2.100 (туй ми е "фалшивито" IP, дет ми го е дал доставчика), няма да мога да излизам в големия зъл интернет, щото ще пренасочвам всички заявки към фалшив адрес.
Изобщо ако някой е решавал въпроси с VPN + IPNAT + IPF, моля да постне някои примерни файлове за ipnat.rules и ipfw.rules (или както там си ги е кръстил).
А, и друг въпрос пак в тази насока - мога ли по някакъв начин да свържа две локални мрежи в два офиса, които са клиенти на един доставчик така, че да могат да си map-ват дисковете от windows -а? Т.е. да се рутират пакетите от 192.168.0.ххх -> 10.10.0.100 ->10.0.1.100 -> 192.168.1.ххх (най-примерно), като 192.168.ххх.ххх са адреси от офисните мрежи, а 10.10.ххх.ххх - тези на доставчика. Ама без да се пускат VPN сървъри и разни такива сложни нещица, ако може
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: thc в Oct 25, 2006, 17:23
Опитай да си добавиш статичен маршрут към локалния сървър, беше нещо подобно на:
или по точно на 10.10.10.1 сложи адреса от който имаш достъп до сървъра.
Ако не искаш да пишеш това след всеки рестарт сложи тези 2 реда в rc.conf:
| Примерен код |
| route add -net 10.10 10.10.10.1 |
Ако не искаш да пишеш това след всеки рестарт сложи тези 2 реда в rc.conf:
| Примерен код |
| static_routes="local" route_local="-net 10.10 10.10.10.1" |
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: theoldman в Oct 27, 2006, 14:56
| Цитат |
FreeBSD ~ # ping 10.10.0.123 PING 10.10.0.123 (10.10.0.123): 56 data bytes 64 bytes from 10.10.0.123: icmp_seq=0 ttl=63 time=2.043 ms 64 bytes from 10.10.0.123: icmp_seq=1 ttl=63 time=0.944 ms ^C --- 10.10.0.123 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.944/1.494/2.043/0.549 ms FreeBSD ~ # route add -host 10.10.0.123 10.10.2.100 add host 10.10.0.123: gateway 10.10.2.100 FreeBSD ~ # ping 10.10.0.123 PING 10.10.0.123 (10.10.0.123): 56 data bytes ping: sendto: Invalid argument ping: sendto: Invalid argument ping: sendto: Invalid argument ^C --- 10.10.0.123 ping statistics --- 3 packets transmitted, 0 packets received, 100% packet loss |
Положението става по-лошо
Даже и пинг-а изчезва. Някакви други идеи? Приемам съвети и на ICQ 4677833, на SKYPE juliang, даже и паролата на root-a бих дал, да влезне някой през ssh да види какво става, ама "много ма й страх" Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: Summoning в Oct 29, 2006, 21:53
мога да ти кажа как работи със PPPoE връска
rc.conf - по важното : ----------------------------------------------------
gateway_enable="YES"
ifconfig_xl0="inet 10.10..x.x netmask 255.255.0.0"
ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES" # if you want to enable nat for your local network, otherwise NO
ppp_profile="......" #пишеш името на профила от ppp.conf
firewall_enable="YES" # Set to YES to enable firewall functionalityfirewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="client" # Firewall type (see /etc/rc.firewall)
firewall_logging="YES" # Set to YES to enable events logging
ppp.comf --------------------------------------------
default:
set log Phase tun command # you can add more detailed logging if you wish
set ifaddr 10.0.0.1/0 10.0.0.2/0
Imeto na profila:
set device PPPoE:xl0 # replace xl1 with your Ethernet device
set authname potrebitelsko ime
set authkey parola
set login
add default HISADDR
-------------------------------------------------
така ето я и същинската част от работата с pppoe, със ipfw нештата стават доста лесно
--------------------------------------------------
rc.firewall: --------------
#!/bin/sh
kldload ipfw
sysctl net.inet.ip.fw.one_pass=1
ipfw add 00100 allow ip from any to any via lo0
ipfw add 00200 divert 8668 ip from 10.10.0.100 to me via xl0
ipfw add 00201 divert 8668 ip from 192.168.0.2 to 10.10.0.100 via xl0
ipfw add 65530 allow ip from any to any
------------------------------------------------------
при мен така работи като замести 192.168.0.2 със някакав реинч на IP та от вътрешната ти мрежа
запазвам си правото да съм збъркал някаде тъйкато при писане/пеистване съм променял някой неща за твоя случаи ако има нещо казваи ще го оправим
-------------------------------------------
BGMreja - support -
rc.conf - по важното : ----------------------------------------------------
gateway_enable="YES"
ifconfig_xl0="inet 10.10..x.x netmask 255.255.0.0"
ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES" # if you want to enable nat for your local network, otherwise NO
ppp_profile="......" #пишеш името на профила от ppp.conf
firewall_enable="YES" # Set to YES to enable firewall functionalityfirewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="client" # Firewall type (see /etc/rc.firewall)
firewall_logging="YES" # Set to YES to enable events logging
ppp.comf --------------------------------------------
default:
set log Phase tun command # you can add more detailed logging if you wish
set ifaddr 10.0.0.1/0 10.0.0.2/0
Imeto na profila:
set device PPPoE:xl0 # replace xl1 with your Ethernet device
set authname potrebitelsko ime
set authkey parola
set login
add default HISADDR
-------------------------------------------------
така ето я и същинската част от работата с pppoe, със ipfw нештата стават доста лесно
--------------------------------------------------
rc.firewall: --------------
#!/bin/sh
kldload ipfw
sysctl net.inet.ip.fw.one_pass=1
ipfw add 00100 allow ip from any to any via lo0
ipfw add 00200 divert 8668 ip from 10.10.0.100 to me via xl0
ipfw add 00201 divert 8668 ip from 192.168.0.2 to 10.10.0.100 via xl0
ipfw add 65530 allow ip from any to any
------------------------------------------------------
при мен така работи като замести 192.168.0.2 със някакав реинч на IP та от вътрешната ти мрежа
запазвам си правото да съм збъркал някаде тъйкато при писане/пеистване съм променял някой неща за твоя случаи ако има нещо казваи ще го оправим
-------------------------------------------
BGMreja - support -
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: Summoning в Oct 29, 2006, 22:56
аммм сложи в rc.conf
ifconfig_vr0="inet 192.168.0.1 netmask 255.255.255.0"
предполагам, че си се досетил ама за всеки случаи, междодругото с pppoe натването става елементарно и няма нужда да си ослужняваш живота
за вториа ти въпрос маи може да се измисли нещо със някакаъв vlan в мрежата на доставчика ама нети гарантирам че ще ти помогне много просто трябва да се помисли
rc.conf ------
cloned_interfaces="vlanne6tosi"
ifconfig_vlanne6tosi="vlanne6tosi vlandev xl0"
ifconfig_vlanne6tosi_alias0="inet 192.168.123.x netmask 255.255.255.0"
наистина немога да дам гаранция че ще работи, доста неща трябва да се преценят кат оот сорта на това данеби офисите да си в далечни части на софиа и доставчика също да ис е разделил мрежата на vlan въпреки че неби трябвало на ISPто да е проблем да г инаправи в един
дано да съъм помогнал поне малко чао за сега
ifconfig_vr0="inet 192.168.0.1 netmask 255.255.255.0"
предполагам, че си се досетил ама за всеки случаи, междодругото с pppoe натването става елементарно и няма нужда да си ослужняваш живота
за вториа ти въпрос маи може да се измисли нещо със някакаъв vlan в мрежата на доставчика ама нети гарантирам че ще ти помогне много просто трябва да се помисли
rc.conf ------
cloned_interfaces="vlanne6tosi"
ifconfig_vlanne6tosi="vlanne6tosi vlandev xl0"
ifconfig_vlanne6tosi_alias0="inet 192.168.123.x netmask 255.255.255.0"
наистина немога да дам гаранция че ще работи, доста неща трябва да се преценят кат оот сорта на това данеби офисите да си в далечни части на софиа и доставчика също да ис е разделил мрежата на vlan въпреки че неби трябвало на ISPто да е проблем да г инаправи в един
дано да съъм помогнал поне малко чао за сега
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: alabal в Oct 30, 2006, 00:10
Братко, Summoning!
Прегледай ето тази тема и т.3 от нея!
Тъй като вероятно, последните ти две съобщения имат полезна информация за theoldman няма да ги изтрия, но бъди така добър да се съобразиш с правилата, да ги редактираш на кирилица и да пишеш на кирилица от тук нататък!
Прегледай ето тази тема и т.3 от нея!
Тъй като вероятно, последните ти две съобщения имат полезна информация за theoldman няма да ги изтрия, но бъди така добър да се съобразиш с правилата, да ги редактираш на кирилица и да пишеш на кирилица от тук нататък!
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: Summoning в Oct 30, 2006, 08:28
ок извинявам се просто несъм обърнал внимание ще ги прегледам нещата 
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: theoldman в Oct 30, 2006, 11:20
Да постна моята конфигурация, ако може да ми помогнеш
rc.conf:
ipf.rules:
ipnat.rules:
На ipf.rules трябва да разчистя още малко pass in, щото нямам сървъри, ама първо това с free съвъра ми е болката
А, ами това
не е ли "врата у поле"? Какво точно ще спреш с него?
rc.conf:
| Цитат |
ifconfig_rl0="inet 10.10.2.232 netmask 255.255.0.0 up" ifconfig_rl1="inet 192.168.0.1 netmask 255.255.0.0 up" sendmail_enable="NONE" hostname="mp-linux" gateway_enable="YES" mpd_enable="YES" ipfilter_enable="YES" ipfilter_flags="-Fa -f /etc/ipf.rules" ipmon_enable="YES" ipmon_flags="-Ds" ipnat_enable="YES" sshd_enable="YES" |
ipf.rules:
| Цитат |
pass in quick on lo0 all pass out quick on lo0 all pass in quick on rl1 all pass out quick on rl1 all # Let clients behind the firewall send out to the internet, and replies to come pass out quick on rl0 proto tcp all keep state pass out quick on ng0 proto tcp all keep state pass out quick on rl0 proto udp all keep state pass out quick on ng0 proto udp all keep state pass out quick on rl0 proto icmp all keep state pass out quick on ng0 proto icmp all keep state # Since nothing should be coming from these address ranges, block them block in quick on rl0 from 192.168.0.0/16 to any block in quick on ng0 from 192.168.0.0/16 to any block in quick on rl0 from 172.16.0.0/12 to any block in quick on ng0 from 172.16.0.0/12 to any block in quick on rl0 from 127.0.0.0/8 to any block in quick on ng0 from 127.0.0.0/8 to any block in quick on rl0 from 192.0.2.0/24 to any block in quick on ng0 from 192.0.2.0/24 to any # Let's let people access the services running on this system pass in quick on rl0 proto tcp from any to any port 30000 >< 50000 flags S keep pass in quick on rl0 proto tcp from any to any port = 50505 flags S keep state pass in quick on rl0 proto udp from any to any port = 50505 #BitComet pass in quick on rl0 proto tcp from any to any port = 21 #FTP pass in quick on rl0 proto tcp from any to any port = 22 #SSH pass in quick on rl0 proto tcp/udp from any to any port = 53 #DNS pass in quick on rl0 proto tcp from any to any port = 80 #WWW # Block everything else block in quick on rl0 all |
ipnat.rules:
| Цитат |
map ng0 192.168.0.0/24 -> 0.0.0.0/32 proxy port ftp ftp/tcp map ng0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 49152:65000 map ng0 192.168.0.0/24 -> 0.0.0.0/32 |
На ipf.rules трябва да разчистя още малко pass in, щото нямам сървъри, ама първо това с free съвъра ми е болката
А, ами това
| Цитат |
| kldload ipfw sysctl net.inet.ip.fw.one_pass=1 ipfw add 00100 allow ip from any to any via lo0 ipfw add 00200 divert 8668 ip from 10.10.0.100 to me via xl0 ipfw add 00201 divert 8668 ip from 192.168.0.2 to 10.10.0.100 via xl0 ipfw add 65530 allow ip from any to any |
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: Summoning в Oct 30, 2006, 19:12
в момента имам доста работа в сряда съм нощна смяна ще ги погледна нещата ... а за ipfw - това прави само нат между вътрешната ти мрежа и free servera несъм си поставял за цел да е firewall 
Титла: Vpn + ipnat +ipf - проблемче?
Публикувано от: Summoning в Nov 02, 2006, 11:29
така като гледам най доре е да си купиш една барака за 20тина лв. и да пробваш да настроиш BSD на нея така като ти пшредложих аз .. смисъл че то тотално трябва си разцъкваш настроиките ... както решиш аз чесно казано неможах да ти схвана много логиката с филтера ама ти си знаеш най добре .. успех
ето и нещо полезно - http://www.freebsd-bg.org/articles/ipfw.html
ето и нещо полезно - http://www.freebsd-bg.org/articles/ipfw.html