Frozen Fido : RU.UNIX.BSD : (VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не паше

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexey D. Terekhov                   2:5020/400     20 Apr 2005  23:17:21
 To : All
 Subject : (VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не паше
 --------------------------------------------------------------------------------

 пашет)
 
 имеется сабж на  FreeBSD 5.4-PRERELEASE.
 
 стоят 2 сетевухи:
 xl0: 123.123.123.126 - смотри в инет
 xl1: 10.10.10.1 - смотрит в локалку
 клиенты локалки имеют адреса из 10.10.10.0/24 . Чтобы получить доступ в
 инет они коннектятся к впн-серверу (poptop, 10.10.10.1) и получают еще
 один маскарадный впн-адрес из сети 10.10.20.0/24. Далее все это дело
 заворачивается на нат и считается траффик с помощью ipacct (20000 порт).
 
 при раздаче маскарадных ипов по ВПH (10.10.20.0/24) при данном конфиге
 все работает - пакеты ходят туда-сюда, инет есть, трафф считается.
 
 !!!Hо когда надо выдать через ВПH реальный айпишник (например,
 123.123.123.131) - тогда происходит следующее:
 
 клиент коннектиится к впн, получает реальный айпишник. От него пакеты
 проходят (было видно по счетчикам правил, пока не сбросил правила
 касательно реальников), но неизвестно докуда проходят :) к нему ни один
 пакет не возвращается (см. ниже в счетчках ipfw). Инета с реальниками
 нету - все недовольны :)
 
 Hе могу понять в чем грабли? в маршрутизации, в настройках гейтвэя или в
 фаерволле?
 
 Конфиги такие:
 
 -----в ядре помимо дефолтных включены:
 options         IPFIREWALL
 options         IPDIVERT
 ------------------
 
 ----rc.conf--------
 #......
 ifconfig_xl0="inet 123.123.123.126  netmask 255.255.255.0"
 defaultrouter="123.123.123.125"
 hostname="vasek.ru"
 
 ifconfig_xl1="inet 10.10.10.1  netmask 255.255.255.0"
 #ipacctd section
 ipacctd_flags="-f /var/log/ipacct"
 ipacctd_enable="YES"
 ipacctd_rules="xl0"
 ipacctd_rule_xl0_flags="-p 20000"
 ipacctd_rule_xl0_pid="/var/run/ipacctd.pid"
 
 #firewall section
 gateway_enable="YES"
 firewall_enable="YES"
 firewall_script="/etc/ipfw.rules"
 
 natd_enable="YES"
 natd_interface="xl0"
 
 #......
 -------------------
 
 -------#ipfw show
 00050 37258113  3126652283 divert 8668 ip from 10.10.20.0/24 to any via xl0
 00050 24383026 17397713608 divert 8668 ip from any to me via xl0
 00100 62488303 21034513937 divert 20000 ip from any to any via tun*
 00110      126        6592 reset ip from not 213.234.228.228 to me
 dst-port 22
 00150 43718538  5144410454 allow ip from any to me
 00150 69360825 22203424765 allow ip from me to any
 01023   122006    21690281 allow ip from 10.10.20.19 to not me
 01023   263437   181843910 allow ip from not me to 10.10.20.19
 .....
 .....
 !-вот тут были ненулевые счетчики-! 01099        0           0 allow ip
 from 123.123.123.131 to not me
 !-а вот тут всегда были нули-! 01099        0           0 allow ip from
 not me to 123.123.123.1
 --------------------------
 
 в чем грабли?
 --- ifmail v.2.15dev5.3
  * Origin: MTU-Intel ISP (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
(VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не паше	Alexey D. Terekhov	20 Apr 2005 23:17:21
Re: (VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не	Alexey D. Terekhov	20 Apr 2005 23:27:28
Re: (VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не	Boris Samorodov	21 Apr 2005 01:01:44
(VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не паше	Alexandre Kardanev	24 Apr 2005 21:39:17
Re: (VPN+gateway+NAT) - раздача маскарадников (пашет) и реальников (не	Alexey D. Terekhov	24 Apr 2005 22:59:36

Архивное /ru.unix.bsd/9104da52f201.html, оценка 3 из 5, голосов 10