The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"FreeBSD 10.2 + pf + VPN (GRE)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 13-Дек-15, 09:31 
Здравствуйте.
Есть серая сетка с NAT и шлюз на FreeBSD 10.2. Надо настроить доступ из неё наружу, к внешним сетям VPN (PPTP), более чем одному пользователю одновременно.
То, есть нужно пробросить протокол GRE и TCP/1723.
Раньше делал это на IPFW, но на новом шлюзе уговорили поставить PF - типа он гибче. Вышел облом...

Оказывается этот хвалёный PF не дружит с GRE и с ещё некоторыми вещами - надо прикручивать сбоку костыль в виде IPFW с каким-то скриптом. Выглядит это гадко... Знал бы заранее - поставил бы IPFW и не парился.
Но, все эти заметки старые, им уже несколько лет - может быть PF уже доработали и я топчусь на ровном месте и просто не разобрался?

Как в итоге пробросить VPN малой кровью?
(PPTP и L2TP до кучи)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от eRIC (ok) on 13-Дек-15, 10:51 
тут недавно подымали эту тему, гляньте ссылки https://www.opennet.ru/openforum/vsluhforumID1/96393.html#2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 13-Дек-15, 16:51 
Видел, но по-моему там нет решения... если не углядел - поправьте.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от eRIC (ok) on 13-Дек-15, 16:59 
> Видел, но по-моему там нет решения... если не углядел - поправьте.

где ваши правила PF? в студию их

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 13-Дек-15, 22:46 
Правила на работе. По памяти что-то вроде этого:
pass quick on $ext_if inet proto tcp from any to any port 1723
pass quick on $ext_if inet proto tcp from any port 1723 to any
pass quick on $ext_if inet proto gre from any to any

Написал ЭТО только для того, чтобы показать, что ни редиректов, ни таблиц, ни других заморочек не применял - только открыл 1723 и разрешил GRE напрополую. Всё.

Завтра скину то, что на самом деле, но особой разницы там не будет. Пока не скинул, коротко - можно VPN c GRE через PF пробросить или нет? Спрашиваю потому, что везде писали, что если и можно, то не более одного соединения одновременно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от Mikula email on 14-Дек-15, 16:10 
>[оверквотинг удален]
> pass quick on $ext_if inet proto tcp from any port 1723 to
> any
> pass quick on $ext_if inet proto gre from any to any
> Написал ЭТО только для того, чтобы показать, что ни редиректов, ни таблиц,
> ни других заморочек не применял - только открыл 1723 и разрешил
> GRE напрополую. Всё.
> Завтра скину то, что на самом деле, но особой разницы там не
> будет. Пока не скинул, коротко - можно VPN c GRE через
> PF пробросить или нет? Спрашиваю потому, что везде писали, что если
> и можно, то не более одного соединения одновременно.

Может вот это поможет?
http://bezopasnik.org/unix/dok/FreeBSD/dok/675.htm

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от ALex_hha (ok) on 13-Дек-15, 13:41 
> Раньше делал это на IPFW, но на новом шлюзе уговорили поставить PF
> - типа он гибче. Вышел облом...

а что мешает обратно поставить ipfw?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 13-Дек-15, 16:47 
> а что мешает обратно поставить ipfw?

Пожалуйста, не надо уводить в сторону :)
Я спросил про PF.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от ALex_hha (ok) on 14-Дек-15, 02:41 
>> а что мешает обратно поставить ipfw?
> Пожалуйста, не надо уводить в сторону :)
> Я спросил про PF.

так вам шашечки или таки ехать ;)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от daekiy (ok) on 13-Дек-15, 23:00 
https://www.opennet.ru/tips/2245_pf_firewall_ipfw_freebsd.shtml

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 13-Дек-15, 23:06 
видел, я про эту статью и писал, что выглядит жутко - костыль...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от tootsie on 14-Дек-15, 13:38 
> видел, я про эту статью и писал, что выглядит жутко - костыль...

VPN сервер завести на самом шлюзе и ничего прокидывать не придется?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 14-Дек-15, 18:42 
Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN мне ни заводить ни прокидывать не надо.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от tootsie on 15-Дек-15, 08:33 
> Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN
> мне ни заводить ни прокидывать не надо.

Хорошо, подними на шлюзе vpn клиента, который будет подключаться к необходимому vpn шлюзу.

Я просто не в курсе, pf реально не пропускает vpn подключение от клиентской машины наружу?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от kuksha12 (ok) on 15-Дек-15, 10:40 
Теоретически пропускает, но грабли с одним из видов VPN - с PPTP, а точнее с протоколом GRE, который в нём используется. Ещё точнее - проблемы с NAT для GRE, насколько я понял. Приляпывать IPFW сбоку - ни за что.
Для себя тему PF я закрыл - он только для поиграться.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

13. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от urgordeadbeef on 14-Дек-15, 18:55 
> Как в итоге пробросить VPN малой кровью?
> (PPTP и L2TP до кучи)

Если l2tp без ipsec, то должно натится и так, там же udp.
В случае pptp проблема не в натировании gre, а в правке CallingStationID в управляющем tcp соединении. Сам pf такого не умеет, но контрольный линк можно завернуть в прокси, например frickin, который будет делать это сам. Из портов его выкосили, но можно взять в сети.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "FreeBSD 10.2 + pf + VPN (GRE)"  +/
Сообщение от Аноним (??) on 16-Дек-15, 18:33 
PF никогда не умел в ALG (Application Layer Gateway). Без него вы поимеете проблемы с натом следующего трафика:
-активным FTP
-PPTP
-SIP
-IRC DCC (не думаю что это кому-то сейчас нужно правда..)

Самый простой способ решения проблемы - миграция на ipfw (или Linux :))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру