forum.opennet.ru - "NAT, IPFW проблемы с подключением к Win-VPN серверу" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"NAT, IPFW проблемы с подключением к Win-VPN серверу"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"NAT, IPFW проблемы с подключением к Win-VPN серверу"
Сообщение от sw0rdf1sh (ok) on 04-Авг-04, 12:30 (MSK)
Есть удаленный сервер с Win2k+ISA Server 2000 (VPN сервер pp2p) и сервер с FreeBSD 4.10 с двумя сетевухами который обеспечивает клиентов доступом в интернет и должен по идее пропускать vpn. До этого пробовал все тестировать на тестовом серваке потом поднял такую же конфигурацию на этом но vpn не работает :( ------------- rc.conf -------------- ip-адреса изменены ifconfig_xl0="inet 192.168.5.254 netmask 255.255.255.0" ifconfig_xl1="inet 212.2.2.2 netmask 255.255.255.192" defaultrouter="212.1.1.1" hostname="shark.locadomain" natd_enable="YES" natd_interface="xl1" natd_flags="-s -m -u" named_enable="YES" _________________________________________________ Правила IPFW 00010 0 0 allow ip from any to any via lo0 00020 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 deny ip from 127.0.0.0/8 to any 00040 1674 179954 allow tcp from any 22 to any 00050 1735 153860 allow tcp from any to any 22 00051 0 0 deny tcp from any 135-139 to any via xl1 00052 12 576 deny tcp from any to any 135-139 via xl1 00060 1907 288694 fwd 127.0.0.1,3000 tcp from 192.168.5.0/24 to any 80 # squid работает на 3000-м порту поэтому http форвардится в этот порт 00080 0 0 divert 8668 ip from 192.168.5.0/24 to any out xmit xl1 00090 1567 1165869 divert 8668 ip from any to 212.2.2.2 in recv xl1 00091 50 10080 allow udp from any 53 to 192.168.5.0/24 00092 51 3161 allow udp from 192.168.5.0/24 to any 53 00093 123 8638 allow udp from any to 212.3.3.3 53 00094 123 19716 allow udp from 212.3.3.3 53 to any 00095 1403 1142778 allow tcp from any 80,443,20,21 to me in recv xl1 00100 0 0 deny tcp from any to any 3306 via xl1 00110 0 0 deny tcp from any 3306 to any via xl1 00400 0 0 allow tcp from any 80,443,20,21,3000 to 192.168.5.44 00401 0 0 allow tcp from 192.168.5.44 to any 80,443,20,21,3000 00402 0 0 allow gre from 192.168.5.44 to win-vpn-ip 00403 0 0 allow gre from win-vpn-ip to 192.168.5.44 00404 0 0 allow tcp from 192.168.5.44 to win-vpn-ip 1723 00405 0 0 allow tcp from win-vpn-ip 1723 to 192.168.5.44 65000 0 0 allow ip from 212.2.2.2 to any 65001 204 28732 deny log logamount 10 ip from any to any 65535 14 1291 deny ip from any to any _____________________________________________________________ tail /var/log/security не выдает что где то запрещается 192.168.5.44 Провайдерская сеть организована по идиотски, много свичей от которых разводятся провода к клиентам. Видимо кто то из «умных» клиентов воткнул в свой свич провайдерский провод потому что постоянно в /var/log/messages появляются сообщения типа Aug 4 11:59:29 shark /kernel: arp: 192.168.5.44 is on xl0 but got reply from 00:c0:26:a8:cb:60 on xl1 Aug 4 12:00:45 shark /kernel: arp: 192.168.5.44 is on xl0 but got reply from 00:c0:26:a8:cb:60 on xl1 Ответ приходит не из моей сети а из сети этого сраного провайдера видимо из за этого и не работает VPN. Как сделать так чтобы не получать ответ от этих клиентов, а получать ответ от своей сети? Менять ip-адреса во всей сети мне не хочется, а поднимать dhcp сервер нет времени, тем более настройки менять все равно придется по любому. Прописать таблицу arp в ручную на роутере или что? Посоветуйте оптимальный вариант.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

NAT, IPFW проблемы с подключением к Win-VPN серверу, sw0rdf1sh, 16:47 , 05-Авг-04, (1)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "NAT, IPFW проблемы с подключением к Win-VPN серверу"

Сообщение от sw0rdf1sh (ok) on 05-Авг-04, 16:47  (MSK)

Вот конфиг от другого сервака (того который тестовый и на котором все работает). Обратите на 80е правило! На этом серваке оно работает, в то время как на другом сервере это правило никак не меняется! Я подключался с ip-адреса 192.168.5.100
[code]00010    0       0 allow ip from any to any via lo0
00020    0       0 deny ip from any to 127.0.0.0/8
00030    0       0 deny ip from 127.0.0.0/8 to any
00040  342   23352 allow tcp from any 22 to any
00050  353   31904 allow tcp from any to any 22
00051    0       0 deny tcp from any 135-139 to any via xl1
00052    0       0 deny tcp from any to any 135-139 via xl1
00060    4     586 fwd 127.0.0.1,3000 tcp from 192.168.5.0/24 to any 80
00080 2091  285290 divert 8668 ip from 192.168.5.0/24 to any out xmit xl1
00090 2495 1700462 divert 8668 ip from any to MYIP in recv xl1
00091    0       0 allow udp from any 53 to 192.168.5.0/24
00092    0       0 allow udp from 192.168.5.0/24 to any 53
00093    0       0 allow udp from any to ISPDNS 53
00094    0       0 allow udp from ISPDNS 53 to any
00095    0       0 allow tcp from any 80,443,20,21 to me in recv xl1
00100    0       0 deny tcp from any to any 3306 via xl1
00110    0       0 deny tcp from any 3306 to any via xl1
00205    0       0 allow udp from 192.168.5.242 53 to any
00206    0       0 allow udp from any 53 to 192.168.5.242
00230    0       0 allow tcp from any 80,443,20,21,22,3000,119 to 192.168.5.242
00231    0       0 allow tcp from 192.168.5.242 to any 80,443,20,21,22,3000,119
00251    0       0 allow gre from 192.168.5.242 to win-vpn-ip
00252    0       0 allow gre from win-vpn-ip to 192.168.5.242
00260    0       0 allow tcp from 192.168.5.242 to win-vpn-ip 1723
00261    0       0 allow tcp from win-vpn-ip 1723 to 192.168.5.242
00270    0       0 allow udp from 192.168.5.100 53 to any
00271    0       0 allow udp from any 53 to 192.168.5.100
00272   80   18991 allow tcp from any 80,443,20,21,3000 to 192.168.5.100
00273   44    5095 allow tcp from 192.168.5.100 to any 80,443,20,21,3000
00275 2024  278083 allow gre from 192.168.5.100 to win-vpn-ip
00276 4852 3378342 allow gre from win-vpn-ip to 192.168.5.100
00277   23    2112 allow tcp from 192.168.5.100 to win-vpn-ip 1723
00278   38    2840 allow tcp from win-vpn-ip 1723 to 192.168.5.100
65000 2091  285290 allow ip from win-vpn-ip to any
65001   68    7497 deny log logamount 10 ip from any to any
65535   13     814 deny ip from any to any[/code]
В правилах 277 и 278 на тестовом сервере все пакеты проходят от меня и ко мне! На сервере SHARK пакеты уходят от меня, но ко мне ничего не возвращается… Сначала я подумал что провайдер фильтрует порт 1723, переставил SQUID на этот порт, поставил правило “pass ip from any to any” – все коннектится нормально. Все таки имхо проблема в 80м правиле, а точнее в том что на него ничего не приходит

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT, IPFW проблемы с подключением к Win-VPN серверу"
Сообщение от sw0rdf1sh (ok) on 05-Авг-04, 16:47 (MSK)
Вот конфиг от другого сервака (того который тестовый и на котором все работает). Обратите на 80е правило! На этом серваке оно работает, в то время как на другом сервере это правило никак не меняется! Я подключался с ip-адреса 192.168.5.100 [code]00010 0 0 allow ip from any to any via lo0 00020 0 0 deny ip from any to 127.0.0.0/8 00030 0 0 deny ip from 127.0.0.0/8 to any 00040 342 23352 allow tcp from any 22 to any 00050 353 31904 allow tcp from any to any 22 00051 0 0 deny tcp from any 135-139 to any via xl1 00052 0 0 deny tcp from any to any 135-139 via xl1 00060 4 586 fwd 127.0.0.1,3000 tcp from 192.168.5.0/24 to any 80 00080 2091 285290 divert 8668 ip from 192.168.5.0/24 to any out xmit xl1 00090 2495 1700462 divert 8668 ip from any to MYIP in recv xl1 00091 0 0 allow udp from any 53 to 192.168.5.0/24 00092 0 0 allow udp from 192.168.5.0/24 to any 53 00093 0 0 allow udp from any to ISPDNS 53 00094 0 0 allow udp from ISPDNS 53 to any 00095 0 0 allow tcp from any 80,443,20,21 to me in recv xl1 00100 0 0 deny tcp from any to any 3306 via xl1 00110 0 0 deny tcp from any 3306 to any via xl1 00205 0 0 allow udp from 192.168.5.242 53 to any 00206 0 0 allow udp from any 53 to 192.168.5.242 00230 0 0 allow tcp from any 80,443,20,21,22,3000,119 to 192.168.5.242 00231 0 0 allow tcp from 192.168.5.242 to any 80,443,20,21,22,3000,119 00251 0 0 allow gre from 192.168.5.242 to win-vpn-ip 00252 0 0 allow gre from win-vpn-ip to 192.168.5.242 00260 0 0 allow tcp from 192.168.5.242 to win-vpn-ip 1723 00261 0 0 allow tcp from win-vpn-ip 1723 to 192.168.5.242 00270 0 0 allow udp from 192.168.5.100 53 to any 00271 0 0 allow udp from any 53 to 192.168.5.100 00272 80 18991 allow tcp from any 80,443,20,21,3000 to 192.168.5.100 00273 44 5095 allow tcp from 192.168.5.100 to any 80,443,20,21,3000 00275 2024 278083 allow gre from 192.168.5.100 to win-vpn-ip 00276 4852 3378342 allow gre from win-vpn-ip to 192.168.5.100 00277 23 2112 allow tcp from 192.168.5.100 to win-vpn-ip 1723 00278 38 2840 allow tcp from win-vpn-ip 1723 to 192.168.5.100 65000 2091 285290 allow ip from win-vpn-ip to any 65001 68 7497 deny log logamount 10 ip from any to any 65535 13 814 deny ip from any to any[/code] В правилах 277 и 278 на тестовом сервере все пакеты проходят от меня и ко мне! На сервере SHARK пакеты уходят от меня, но ко мне ничего не возвращается… Сначала я подумал что провайдер фильтрует порт 1723, переставил SQUID на этот порт, поставил правило “pass ip from any to any” – все коннектится нормально. Все таки имхо проблема в 80м правиле, а точнее в том что на него ничего не приходит
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх