форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"FreeBSD 10.2 + pf + VPN (GRE)"	+/–
Сообщение от kuksha12 (ok) on 13-Дек-15, 09:31
Здравствуйте. Есть серая сетка с NAT и шлюз на FreeBSD 10.2. Надо настроить доступ из неё наружу, к внешним сетям VPN (PPTP), более чем одному пользователю одновременно. То, есть нужно пробросить протокол GRE и TCP/1723. Раньше делал это на IPFW, но на новом шлюзе уговорили поставить PF - типа он гибче. Вышел облом... Оказывается этот хвалёный PF не дружит с GRE и с ещё некоторыми вещами - надо прикручивать сбоку костыль в виде IPFW с каким-то скриптом. Выглядит это гадко... Знал бы заранее - поставил бы IPFW и не парился. Но, все эти заметки старые, им уже несколько лет - может быть PF уже доработали и я топчусь на ровном месте и просто не разобрался? Как в итоге пробросить VPN малой кровью? (PPTP и L2TP до кучи)
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
Сообщение от eRIC (ok) on 13-Дек-15, 10:51
тут недавно подымали эту тему, гляньте ссылки https://www.opennet.ru/openforum/vsluhforumID1/96393.html#2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от kuksha12 (ok) on 13-Дек-15, 16:51
	Видел, но по-моему там нет решения... если не углядел - поправьте.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от eRIC (ok) on 13-Дек-15, 16:59
	> Видел, но по-моему там нет решения... если не углядел - поправьте. где ваши правила PF? в студию их
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от kuksha12 (ok) on 13-Дек-15, 22:46
	Правила на работе. По памяти что-то вроде этого: pass quick on $ext_if inet proto tcp from any to any port 1723 pass quick on $ext_if inet proto tcp from any port 1723 to any pass quick on $ext_if inet proto gre from any to any Написал ЭТО только для того, чтобы показать, что ни редиректов, ни таблиц, ни других заморочек не применял - только открыл 1723 и разрешил GRE напрополую. Всё. Завтра скину то, что на самом деле, но особой разницы там не будет. Пока не скинул, коротко - можно VPN c GRE через PF пробросить или нет? Спрашиваю потому, что везде писали, что если и можно, то не более одного соединения одновременно.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от Mikula on 14-Дек-15, 16:10
	>[оверквотинг удален] > pass quick on $ext_if inet proto tcp from any port 1723 to > any > pass quick on $ext_if inet proto gre from any to any > Написал ЭТО только для того, чтобы показать, что ни редиректов, ни таблиц, > ни других заморочек не применял - только открыл 1723 и разрешил > GRE напрополую. Всё. > Завтра скину то, что на самом деле, но особой разницы там не > будет. Пока не скинул, коротко - можно VPN c GRE через > PF пробросить или нет? Спрашиваю потому, что везде писали, что если > и можно, то не более одного соединения одновременно. Может вот это поможет? http://bezopasnik.org/unix/dok/FreeBSD/dok/675.htm
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
Сообщение от ALex_hha (ok) on 13-Дек-15, 13:41
> Раньше делал это на IPFW, но на новом шлюзе уговорили поставить PF > - типа он гибче. Вышел облом... а что мешает обратно поставить ipfw?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от kuksha12 (ok) on 13-Дек-15, 16:47
	> а что мешает обратно поставить ipfw? Пожалуйста, не надо уводить в сторону :) Я спросил про PF.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от ALex_hha (ok) on 14-Дек-15, 02:41
	>> а что мешает обратно поставить ipfw? > Пожалуйста, не надо уводить в сторону :) > Я спросил про PF. так вам шашечки или таки ехать ;)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
Сообщение от daekiy (ok) on 13-Дек-15, 23:00
https://www.opennet.ru/tips/2245_pf_firewall_ipfw_freebsd.shtml
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от kuksha12 (ok) on 13-Дек-15, 23:06
	видел, я про эту статью и писал, что выглядит жутко - костыль...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от tootsie on 14-Дек-15, 13:38
	> видел, я про эту статью и писал, что выглядит жутко - костыль... VPN сервер завести на самом шлюзе и ничего прокидывать не придется?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от kuksha12 (ok) on 14-Дек-15, 18:42
	Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN мне ни заводить ни прокидывать не надо.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от tootsie on 15-Дек-15, 08:33
	> Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN > мне ни заводить ни прокидывать не надо. Хорошо, подними на шлюзе vpn клиента, который будет подключаться к необходимому vpn шлюзу. Я просто не в курсе, pf реально не пропускает vpn подключение от клиентской машины наружу?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
	Сообщение от kuksha12 (ok) on 15-Дек-15, 10:40
	Теоретически пропускает, но грабли с одним из видов VPN - с PPTP, а точнее с протоколом GRE, который в нём используется. Ещё точнее - проблемы с NAT для GRE, насколько я понял. Приляпывать IPFW сбоку - ни за что. Для себя тему PF я закрыл - он только для поиграться.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

13. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
Сообщение от urgordeadbeef on 14-Дек-15, 18:55
> Как в итоге пробросить VPN малой кровью? > (PPTP и L2TP до кучи) Если l2tp без ipsec, то должно натится и так, там же udp. В случае pptp проблема не в натировании gre, а в правке CallingStationID в управляющем tcp соединении. Сам pf такого не умеет, но контрольный линк можно завернуть в прокси, например frickin, который будет делать это сам. Из портов его выкосили, но можно взять в сети.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "FreeBSD 10.2 + pf + VPN (GRE)"	+/–
Сообщение от Аноним (??) on 16-Дек-15, 18:33
PF никогда не умел в ALG (Application Layer Gateway). Без него вы поимеете проблемы с натом следующего трафика: -активным FTP -PPTP -SIP -IRC DCC (не думаю что это кому-то сейчас нужно правда..) Самый простой способ решения проблемы - миграция на ipfw (или Linux :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема