VPN через сервер freebsd

[gonhik]

Здравствуйте, есть комп в сети он питается через pptp подключится к серверу  в интернете  но все ни как не получается, уже правил файл rc.firewall

ifOut='em1'

${f} -f flush

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 70 allow tcp from any 1723 to any 1024-65535 out via ${ifOut}
${f} add 71 allow tcp from any 1024-65535 to any 1723 in via ${ifOut}
${f} add 72 allow gre from any to any out via ${ifOut}
${f} add 73 allow gre from any to any in via ${ifOut}

${f} add 110 allow ip from any to any via lo0
${f} add 120 skipto 1000 ip from me to any
${f} add 130 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${f} add 140 deny ip from any to "table(120)"
${f} add 150 deny ip from "table(120)" to any
${f} add 160 skipto 2000 ip from any to me

${f} add 200 skipto 500 ip from any to any via ${ifOut}

${f} add 300 skipto 4500 ip from any to any in

${f} add 400 skipto 450 ip from any to any recv ${ifOut}
${f} add 420 divert 1 ip from any to any
${f} add 450 divert 2 ip from any to any
${f} add 490 allow ip from any to any

${f} add 500 skipto 32500 ip from any to any in
${f} add 510 divert 1 ip from any to any
${f} add 540 allow ip from any to any


${f} add 1000 allow udp from any 53,7723 to any
${f} add 1010 allow tcp from any to any setup keep-state
${f} add 1020 allow udp from any to any keep-state
${f} add 1100 allow ip from any to any

${f} add 2000 check-state
${f} add 2010 allow icmp from any to any
${f} add 2020 allow tcp from any to any 80,443
${f} add 2050 deny ip from any to any via ${ifOut}
${f} add 2060 allow udp from any to any 53,7723

#${f} add 2100 pass tcp pass tcp from any 1723 to any 1024-65535 out xmit ${ifOut}
#${f} add 2110 pass tcp from any 1024-65535 to any 1723 in recv ${ifOut}
#${f} add 2120 pass gre from any to any out xmit ${ifOut}
#${f} add 2130 pass gre from any to any in recv ${ifOut}

${f} add 2200 deny ip from any to any

${f} add 32490 deny ip from any to any
 

[shura_nik]

В принципе отписался на локале, но повторюсь.

${f} add 60 allow gre from any to any
${f} add 65 allow tcp from any to me 1723

причем второе правило нужно только если есть входящий запрос на сам сервер (если на сервере есть VPN), а так хватает одного 60.

[gonhik]

а нужно что то  прописывать в nat ?

[gonhik]

В принципе отписался на локале, но повторюсь.

${f} add 60 allow gre from any to any
${f} add 65 allow tcp from any to me 1723

причем второе правило нужно только если есть входящий запрос на сам сервер (если на сервере есть VPN), а так хватает одного 60.

а можно пример файла pf.conf ?

[ser970]

Здравствуйте, есть комп в сети он питается через pptp подключится к серверу  в интернете  но все ни как не получается, уже правил файл rc.firewall

 а внастройках (впн) копма  убрал галочку использовать шлюз по умолчанию ?

[gonhik]

Здравствуйте, есть комп в сети он питается через pptp подключится к серверу  в интернете  но все ни как не получается, уже правил файл rc.firewall

 а внастройках (впн) копма  убрал галочку использовать шлюз по умолчанию ?

не убрал, потому что через pepelnet  работает а тут не хочет 

[gonhik]

set limit states 128000
set optimization aggressive
nat pass on em1 from ***.***.***.0/24 to any -> em1
nat pass on em1 from ***.***.***.0/24 to any -> em1
конфигурация файла pf.conf !!!!

[Efendy]

Любую задачу надо решать пошагово,а не пытаться подобрать параметры для всех звеньев. Если что-то и получится, то случайно и при любом изменении все ляжет. Первым делом пишешь в фаервол add 10 allow ip from any to any и смотришь как проходит соединение. Если оно стартует и через время обрывается - это скорее всего то, о чем говорит ser970. Если соединение не стартует - тут tcpdump в руки, заодно выучишь очень полезный инструмент, который выручит тебя не раз. Когда отладишь без фаервола - тогда будешь его настраивать

[shura_nik]

set limit states 128000
set optimization aggressive
nat pass on em1 from 192.168.0.0/16 to any -> xxx.xxx.xxx.xxx
nat pass on em1 from 10.10.1.0/24 to any -> xxx.xxx.xxx.xxx

[gonhik]

Добавил правило add 10 allow ip from any to any  но результат все тот же, tcpdump запустил на интерфейсе который смотрит в локалку то запроси от меня идут только до сервера и все. И как бить 

[shura_nik]

1 комп к которому ты подключаешься по pptp в инете?
2 если да, то пров может блокировать gre трафик, или твой, или с другой стороны. (freshtel например блокирует)
3 если нет, то смотри тспдампом что не проходит по локалке.