The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ответы с разных IP одного компьютера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 10:25 
Здравствуйте,
Симптомы следующие:
- Система FreeBSD 7.2
- Стоит quagga
- настравивал не Я
- 2 сетевые 1.1.1.1 - внешний 2.2.2.2 - внутренний

Вопрос в следующем:
Я нахожусь в локальной сети (т.е. мой шнур втыкнут в 2.2.2.2)
Если я посылаю запрос на адрес 1.1.1.1 то отвечает мне с адреса 2.2.2.2
1. Это в ПРИНЦЫПЕ правильное построение или нет? Так как тот же openvpn клиент шибко матюкается на такое поведение и требует установки дополнительных опций в конфигурацию что подхватывать эти ответы.
2. Как это лечить

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 11:35 
>[оверквотинг удален]
>  - настравивал не Я
>  - 2 сетевые 1.1.1.1 - внешний 2.2.2.2 - внутренний
> Вопрос в следующем:
> Я нахожусь в локальной сети (т.е. мой шнур втыкнут в 2.2.2.2)
> Если я посылаю запрос на адрес 1.1.1.1 то отвечает мне с адреса
> 2.2.2.2
> 1. Это в ПРИНЦЫПЕ правильное построение или нет? Так как тот же
> openvpn клиент шибко матюкается на такое поведение и требует установки дополнительных
> опций в конфигурацию что подхватывать эти ответы.
> 2. Как это лечить

не правильно.
возможно пакеты под nat попадают

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 11:50 
> не правильно.
> возможно пакеты под nat попадают

Как это можно проверить

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 11:54 
>> не правильно.
>> возможно пакеты под nat попадают
> Как это можно проверить

смотреть конфиги, следить за счетчиками правил

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 12:45 
А Можно какието более конкретные примеры.
Дополнитальная информацыя: НАТ есть, построен на PF
где-то так:

external_addr="1.1.1.1"
ext_if="vlan5"
table <internal_net>  persist {..........., 2.2.2.2}
set optimization normal
set limit table-entries 600000.
nat on $ext_if from <internal_net> to any -> ($ext_if)


Но по ходу по єтому правилу никто не ходит:
  [ Evaluations: 60375     Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 31689 ]

Это не может быть связанно с quagg-ой и её неправильной настройкой

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 13:11 
>[оверквотинг удален]
> table <internal_net>  persist {..........., 2.2.2.2}
> set optimization normal
> set limit table-entries 600000.
> nat on $ext_if from <internal_net> to any -> ($ext_if)
> Но по ходу по єтому правилу никто не ходит:
>   [ Evaluations: 60375     Packets: 0  
>        Bytes: 0  
>         States: 0  
>    ]
>   [ Inserted: uid 0 pid 31689 ]

с pf по идеи такого получится не должно было, тем более что для nat указан интерфейс. посмотрите не запущен ли ipfw.
запустите tcpdump на внутреннем интерфейсе.
pftop - наглядная штука для pf

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 13:19 
> с pf по идеи такого получится не должно было, тем более что
> для nat указан интерфейс. посмотрите не запущен ли ipfw.
> запустите tcpdump на внутреннем интерфейсе.
> pftop - наглядная штука для pf

ipfw - стоит но там только allow\deny и все
tcpdump показывает тоже самое:
12:18:05.179328 IP 10.0.11.16.63183 > 1.1.1.1.1194: UDP, length 42
12:18:05.179489 IP 2.2.2.2.1194 > 10.0.11.16.63183: UDP, length 50

Шас иду мониторить pftop-ом
.........
В нем нет ни одной записи связанной с openvpn (смотрел по порту 1194)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 13:33 
>> с pf по идеи такого получится не должно было, тем более что
>> для nat указан интерфейс. посмотрите не запущен ли ipfw.
>> запустите tcpdump на внутреннем интерфейсе.
>> pftop - наглядная штука для pf
> ipfw - стоит но там только allow\deny и все
> tcpdump показывает тоже самое:
> 12:18:05.179328 IP 10.0.11.16.63183 > 1.1.1.1.1194: UDP, length 42
> 12:18:05.179489 IP 2.2.2.2.1194 > 10.0.11.16.63183: UDP, length 50

а если обращаться не к openvpn

> Шас иду мониторить pftop-ом
> .........
> В нем нет ни одной записи связанной с openvpn (смотрел по порту
> 1194)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 13:59 
telnet 1.1.1.1 80
на tcpdump показывает правильно
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 14:49 
> telnet 1.1.1.1 80
> на tcpdump показывает правильно

то есть ответ от 1.1.1.1 отправляет?
а неправильный адрес только при обращении к openvpn? если да, то что у него в конфиге

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 16:25 
>> telnet 1.1.1.1 80
>> на tcpdump показывает правильно
> то есть ответ от 1.1.1.1 отправляет?
> а неправильный адрес только при обращении к openvpn? если да, то что
> у него в конфиге

server.conf:
port 1194
proto udp
dev tap
tls-server
tls-auth ta.key 0
ca /etc/ssl/crts/rootCA.crt
cert /etc/ssl/openvpn_serv.crt
key /etc/ssl/openvpn_serv.key  # This file should be kept secret
comp-lzo
dh dh1024.pem
server 10.67.33.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
cipher DES-EDE3-CBC
#log         openvpn_serv.log
#log-append  openvpn_serv.log
#verb 3

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 17:09 
>[оверквотинг удален]
> comp-lzo
> dh dh1024.pem
> server 10.67.33.0 255.255.255.0
> ifconfig-pool-persist ipp.txt
> client-to-client
> keepalive 10 120
> cipher DES-EDE3-CBC
> #log         openvpn_serv.log
> #log-append  openvpn_serv.log
> #verb 3

или используйте proto tcp, или обращайтесь на внутренний ip

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Ответы с разных IP одного компьютера"  +/
Сообщение от gigabyte (ok) on 29-Дек-10, 17:37 
Да пошло спасибо
> или используйте proto tcp, или обращайтесь на внутренний ip
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

6. "Ответы с разных IP одного компьютера"  +/
Сообщение от reader (ok) on 29-Дек-10, 13:14 
> Это не может быть связанно с quagg-ой и её неправильной настройкой

это относится к маршрутизации и на заголовки пакетов влиять не должно

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Ответы с разных IP одного компьютера"  +/
Сообщение от ALex_hha (ok) on 01-Янв-11, 15:50 
Это известная проблема openvpn и freebsd. Не знаю как сейчас дела обстоят на фряхе, но на линухе это лечится указанием опции multihome в конфиге openvpn. Появилась начиная с 2.1 кажется

Либо как вариант создавать несколько кинфигов openvpn и в каждом явно привязывать его к необходимому интерфейсу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Ответы с разных IP одного компьютера"  +/
Сообщение от mahn0 (ok) on 16-Фев-11, 00:31 
> Это известная проблема openvpn и freebsd. Не знаю как сейчас дела обстоят
> на фряхе, но на линухе это лечится указанием опции multihome в
> конфиге openvpn. Появилась начиная с 2.1 кажется
> Либо как вариант создавать несколько кинфигов openvpn и в каждом явно привязывать
> его к необходимому интерфейсу.

Именно. multihome во фре не работает. решение - только несколько конфигов. Вот мой пример:
http://www.mahno.su/freebsd/network/openvpn-tcp-udp

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру