Название: Real IP через PppoE
Отправлено: fides от 02 Ноября 2015, 23:49:25
Здравствуйте, значит имеется система с freebsd, на ней билинг нодени. Две сетевые карты em0 смотрит в интернет, em1 в локалку. ОТ провайдера получены 5 белых Ип адресов (194.8.145.220-225). Адрес em0 = 194.8.145.186. Клиенты авторизируются через PPPoE. По словам провайдера они со своей стороны маршруты настроили, у меня все должно работать. Прописал Ип адрес в билинг, клиенту при подключению адрес выдается без проблем. Клиент от себя пингует em0 и только, дальше пинги не идут. Пингуем ya.ru и шлюз провайдера 194.8.145.185 смотрим tcpdump tcpdump -n -i ng44 icmp 23:32:41.932567 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6299, length 1008 23:32:43.430860 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6300, length 1008 23:32:46.940479 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6301, length 1008 23:32:48.438147 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6302, length 1008 23:32:51.932829 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6303, length 1008 23:32:53.430519 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6304, length 1008 23:32:56.941272 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6305, length 1008 23:32:58.439017 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6306, length 1008 23:33:01.933029 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6307, length 1008 23:33:03.431083 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6308, length 1008 23:33:07.036243 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6309, length 1008 23:33:08.438662 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6310, length 1008 23:33:11.933842 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6311, length 1008 23:33:13.446529 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6312, length 1008 23:33:16.941191 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6313, length 1008 23:33:18.440857 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6314, length 1008 23:33:21.933466 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6315, length 1008
Признаю особыми познаниями не владею, но к сожалению обратится к человеку который все настраивал нету физической возможности уже так с года полтора, поэтому учусь и делаю все сам. Прошу хотя бы подсказать в какую сторону копать, у меня или провайдера. ipfw list 00001 allow icmp from 194.8.145.220 to 194.8.145.186 00002 allow icmp from 194.8.145.186 to 194.8.145.220 00050 allow tcp from any to me dst-port 22,80,443,8080,1723 00051 allow tcp from me 22,80,443,8080,1723 to any 00052 allow gre from me to any 00053 allow gre from any to me 00054 allow ip from 192.168.11.1 to 192.168.10.0/24 00055 allow ip from 192.168.10.0/24 to 192.168.11.1 00056 allow ip from 192.168.11.1 to 192.168.31.0/24 00057 allow ip from 192.168.31.0/24 to 192.168.11.1 00100 deny tcp from any to any dst-port 445 00110 allow ip from any to any via lo0 00120 skipto 1000 ip from me to any 00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00140 deny ip from any to table(120) 00150 deny ip from table(120) to any 00160 skipto 2000 ip from any to me 00200 skipto 500 ip from any to any via em0 00300 skipto 4500 ip from any to any in 00400 ngtee 100 ip from any to any 00490 allow ip from any to any 00500 skipto 32500 ip from any to any in 00510 ngtee 100 ip from any to any 00540 allow ip from any to any 01000 allow udp from any 53,7723 to any 01010 allow tcp from any to any setup keep-state 01020 allow udp from any to any keep-state 01100 allow ip from any to any 02000 check-state 02010 allow icmp from any to any 02020 allow tcp from any to any dst-port 80,443 02050 deny ip from any to any via em0 02060 allow udp from any to any dst-port 53,7723 02100 deny ip from any to any 05000 deny ip from not table(0) to any 05001 skipto 5010 ip from table(127) to table(126) 05002 skipto 5030 ip from any to not table(2) 05003 deny ip from any to not table(1) 05004 pipe tablearg ip from table(21) to any 05005 deny ip from any to any 05010 pipe tablearg ip from table(127) to any 05030 deny tcp from table(15) to any dst-port 25,445 05400 pipe tablearg ip from table(11) to any 32000 deny ip from any to any 32490 deny ip from any to any 33000 pipe tablearg ip from table(126) to table(127) 33001 skipto 33010 ip from not table(2) to any 33002 pipe tablearg ip from any to table(20) 33003 deny ip from any to any 33400 pipe tablearg ip from any to table(10) 65535 allow ip from any to any
rc.conf ifconfig_em0="inet 194.8.145.186 netmask 255.255.255.252" ifconfig_em1="inet 192.168.5.1 netmask 255.255.255.0"
defaultrouter="194.8.145.185" gateway_enable="YES" fsck_y_enable="YES" sshd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable dumpdev="NO" sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO). sendmail_submit_enable="NO" # Start a localhost-only MTA for mail submission sendmail_outbound_enable="NO" # Dequeue stuck mail (YES/NO). sendmail_msp_queue_enable="NO" # Dequeue stuck clientmqueue mail (YES/NO). mysql_enable="YES" mysql_args="--sql-mode=''" apache22_enable="YES" nodeny_enable="YES" noserver_enable="YES" nol2auth_enable="YES" ngnetflow_enable="YES" named_enable="YES" firewall_enable="YES" mpd_enable="YES" radiusd_enable="YES" pf_enable="YES" snmpd_enable="YES" mrtg_daemon_enable="YES"
Перелопатил инфу на форуме насколько мог. Но так и не понял, это у меня фаирвол блокирует, или мне надо бинатом пропускать, или еще чего, или вообще провайдер лукавит, и проблемы у него. Буду благодарен за любую помощ.
Название: Re: Real IP через PppoE
Отправлено: Cell от 03 Ноября 2015, 01:33:19
Так фигли на туннеле дамп смотреть? ты смотри на исходящем интерфейсе em0 надо полагать. Сразу станет понятно что происходит. Если от 220 пакетов нет вообще, значит не пускает файрвол. Если есть, но только исходящие значит лукавит провайдер. Если есть и исходящие и входящие - значит опять файрвол. Но что-то мне подсказывает, что мухлюет провайдер )))) скорее всего не из злого умысла, а по халатности ))) т.к. из мира трасса не доходит до вашего сервера а умирает на шлюзе вашего провайдера.
Название: Re: Real IP через PppoE
Отправлено: Redmen от 03 Ноября 2015, 02:34:57
если настроен nat то для белих ИП надо либо binat либо мимо ната пускать почитай http://skeletor.org.ua/?p=2217 (http://skeletor.org.ua/?p=2217)
Название: Re: Real IP через PppoE
Отправлено: fides от 03 Ноября 2015, 03:03:00
tcpdump -n -i em0 icmp | grep 194.8.145.220 02:56:47.689222 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21606, length 1008 02:56:49.186239 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21608, length 1008 02:56:52.681216 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21613, length 1008 02:56:54.179215 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21615, length 1008 02:56:57.688716 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21620, length 1008 02:56:59.187220 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21622, length 1008 02:57:02.681715 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21627, length 1008 02:57:04.179726 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21629, length 1008 02:57:07.689715 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21634, length 1008 02:57:09.187221 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21636, length 1008
пакеты идут но не возвращаются, значит лукавит провайдер, завтра с утра буду жаловаться. Спасибо.
Название: Re: Real IP через PppoE
Отправлено: fides от 03 Ноября 2015, 03:08:49
Ну насколько я понимаю ничего особо тут не натится. cat /etc/pf.conf set limit states 128000 set optimization aggressive nat pass on em0 from 10.0.0.0/8 to any -> em0 nat pass on em0 from 192.168.0.0/16 to any -> em0
Название: Re: Real IP через PppoE
Отправлено: Cell от 03 Ноября 2015, 08:32:26
с утра буду жаловаться.
в самую тютельку )
Название: Re: Real IP через PppoE
Отправлено: fides от 03 Ноября 2015, 17:06:54
Все после 2 дней танцев с бубнами, втык провайдеру решил проблему через 2 часа. Спасибо за помощь.
|