Art1
NoDeny
Пользователь
Карма: 0
 Offline
Сообщений: 84
|
 |
« : 02 Июня 2011, 14:05:19 » |
|
Ситуация такая:
Входящий канал через пппое подключение
Сделал все по документации + настроил ppp.conf для подключения к прову, подключение поднимается на сервере есть интернет, но клиентам не раздается
Без подключения пппое, если просто статикой прописать айпишники, сервер инет раздает клиентам
Может есть какие-то особенности в настройке фаера или pf nat через подключение по пппое?
|
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #1 : 02 Июня 2011, 16:43:18 » |
|
Ситуация такая:
Входящий канал через пппое подключение
Сделал все по документации + настроил ppp.conf для подключения к прову, подключение поднимается на сервере есть интернет, но клиентам не раздается
Без подключения пппое, если просто статикой прописать айпишники, сервер инет раздает клиентам
Может есть какие-то особенности в настройке фаера или pf nat через подключение по пппое?
после поднятия пппое pfctl -sn ifconfig ipfw show сюда |
|
|
|
|
Записан
|
|
|
|
Art1
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 84
|
|
« Ответ #2 : 03 Июня 2011, 08:40:52 » |
|
# pfctl -sn No ALTQ support in kernel
ALTQ related functions disabled
nat pass on vr0 inet from 192.168.0.0/16 to any -> 192.168.1.2 192.168.1.2 - айпишник сетевой которая смотрит на модем модема 192.168.1.1 настроен бриджем # ifconfig em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
ether 00:27:0e:15:f4:ea
inet 192.168.10.254 netmask 0xffffff00 broadcast 192.168.10.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82808<VLAN_MTU,WOL_UCAST,WOL_MAGIC,LINKSTATE>
ether 00:24:01:05:57:e1
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fwe0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 02:90:27:62:de:4c
ch 1 dma -1
fwip0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
lladdr 0.90.27.0.2.62.de.4c.a.2.ff.fe.0.0.0.0
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
options=80000<LINKSTATE>
inet 178.94.175.239 --> 195.5.5.204 netmask 0xffffffff
Opened by PID 601 # ipfw show 00050 121 10044 allow tcp from any to me dst-port 22
00051 111 15376 allow tcp from me 22 to any
00110 424 522522 allow ip from any to any via lo0
00120 156 15312 skipto 1000 ip from me to any
00130 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 203 20988 skipto 2000 ip from any to me
00200 0 0 skipto 500 ip from any to any via vr0
00300 8411 503254 skipto 4500 ip from any to any in
00400 0 0 skipto 450 ip from any to any recv vr0
00420 3265 183003 divert 1 ip from any to any
00450 3250 181608 divert 2 ip from any to any
00490 3250 181608 allow ip from any to any
00500 0 0 skipto 32500 ip from any to any in
00510 0 0 divert 1 ip from any to any
00540 0 0 allow ip from any to any
01000 67 8814 allow udp from any 53,7723 to any
01010 0 0 allow tcp from any to any setup keep-state
01020 161 16924 allow udp from any to any keep-state
01100 4 280 allow ip from any to any
02000 0 0 check-state
02010 3 277 allow icmp from any to any
02020 0 0 allow tcp from any to any dst-port 80,443
02050 0 0 deny ip from any to any via vr0
02060 76 4893 allow udp from any to any dst-port 53,7723
02100 48 5112 deny ip from any to any
05000 4548 269627 deny ip from not table(0) to any
05001 0 0 skipto 5010 ip from table(127) to table(126)
05002 3259 195158 skipto 5030 ip from any to not table(2)
05003 0 0 deny ip from any to not table(1)
05004 0 0 pipe tablearg ip from table(21) to any
05005 0 0 deny ip from any to any
05010 0 0 pipe tablearg ip from table(127) to any
05030 8 384 deny tcp from table(15) to any dst-port 25
05400 3251 194774 pipe tablearg ip from table(11) to any
32000 0 0 deny ip from any to any
32490 107 7093 deny ip from any to any
33000 0 0 pipe tablearg ip from table(126) to table(127)
33001 0 0 skipto 33010 ip from not table(2) to any
33002 0 0 pipe tablearg ip from any to table(20)
33003 0 0 deny ip from any to any
33400 0 0 pipe tablearg ip from any to table(10)
65535 1 64 deny ip from any to any |
|
|
|
|
Записан
|
|
|
|
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
Карма: 116
Offline
Сообщений: 1059
|
|
« Ответ #3 : 03 Июня 2011, 08:46:48 » |
|
192.168.0.0/16 to any -> 192.168.1.2 WTF?  ?? То, что 192.168.1.2 очень легко влазит в диапазон FROM тебя не смущает? |
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #4 : 03 Июня 2011, 09:07:47 » |
|
inet 192.168.10.254 netmask 0xffffff00 broadcast 192.168.10.255
тоесть макска 24
тогда
nat pass on vr0 inet from 192.168.0.0/24 to any -> 192.168.1.2
иначе как сказано выше получается
|
|
|
|
|
Записан
|
|
|
|
Art1
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 84
|
|
« Ответ #5 : 03 Июня 2011, 09:44:35 » |
|
Сменил # pfctl -sn No ALTQ support in kernel
ALTQ related functions disabled
nat pass on vr0 inet from 192.168.10.0/24 to any -> 192.168.1.2 Никакого результата не дало, на сервере интернет есть на клиентских машинах нету # ping ya.ru PING ya.ru (87.250.251.3): 56 data bytes
64 bytes from 87.250.251.3: icmp_seq=0 ttl=50 time=100.552 ms
64 bytes from 87.250.251.3: icmp_seq=1 ttl=50 time=96.729 ms
64 bytes from 87.250.251.3: icmp_seq=2 ttl=50 time=95.889 ms
64 bytes from 87.250.251.3: icmp_seq=3 ttl=50 time=97.029 ms |
|
|
|
|
Записан
|
|
|
|
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
Карма: 116
Offline
Сообщений: 1059
|
|
« Ответ #6 : 03 Июня 2011, 10:04:42 » |
|
traceroute ya.ru с клинетской тачки
|
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #7 : 03 Июня 2011, 10:06:48 » |
|
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
options=80000<LINKSTATE>
inet 178.94.175.239 --> 195.5.5.204 netmask 0xffffffff
Opened by PID 601
и
nat pass on vr0 inet from 192.168.10.0/24 to any -> 192.168.1.2
поднимаешь тун а натиш на другой апи
тоже в фаере
|
|
|
|
|
Записан
|
|
|
|
Art1
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 84
|
|
« Ответ #8 : 03 Июня 2011, 10:33:06 » |
|
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
options=80000<LINKSTATE>
inet 178.94.175.239 --> 195.5.5.204 netmask 0xffffffff
Opened by PID 601
и
nat pass on vr0 inet from 192.168.10.0/24 to any -> 192.168.1.2
поднимаешь тун а натиш на другой апи
тоже в фаере
Подключение к телекому, айпи выдается динамически, тогда как натить? я понимаю что есть косяк где-то |
|
|
|
|
Записан
|
|
|
|
Art1
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 84
|
|
« Ответ #9 : 03 Июня 2011, 10:45:29 » |
|
traceroute ya.ru с клинетской тачки
C:\>tracert ya.ru
Трассировка маршрута к ya.ru [87.250.250.203]
с максимальным числом прыжков 30:
1 1 ms 1 ms 1 ms 192.168.10.254
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * ^C |
|
|
|
|
Записан
|
|
|
|
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
Карма: 116
Offline
Сообщений: 1059
|
|
« Ответ #10 : 03 Июня 2011, 11:07:17 » |
|
nat толком настроить. вместо ИП можно указать интерфейс который смотрит наружу
|
|
|
|
|
Записан
|
|
|
|
Art1
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 84
|
|
« Ответ #11 : 03 Июня 2011, 11:24:11 » |
|
nat толком настроить. вместо ИП можно указать интерфейс который смотрит наружу
ee /etc/pf.conf set limit states 128000
set optimization aggressive
natt pass on vr0 from 192.168.10.0/24 to any -> vr0 vr0 смотрит на модем у меня так и настроено или я что-то не так понял? |
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #12 : 03 Июня 2011, 12:33:43 » |
|
nat толком настроить. вместо ИП можно указать интерфейс который смотрит наружу
ee /etc/pf.conf set limit states 128000
set optimization aggressive
natt pass on vr0 from 192.168.10.0/24 to any -> vr0 vr0 смотрит на модем у меня так и настроено или я что-то не так понял? внешний у тебя после пппое тун тоетсь так natt pass on vr0 from 192.168.10.0/24 to any -> tun0 тоже в фаере указать |
|
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #13 : 03 Июня 2011, 12:58:27 » |
|
natt pass on vr0 from 192.168.10.0/24 to any -> tun0
тут ошибка
nat pass on vr0 from 192.168.10.0/24 to any -> tun0
|
|
|
|
|
Записан
|
|
|
|
Art1
NoDeny
Пользователь
Карма: 0
Offline
Сообщений: 84
|
|
« Ответ #14 : 03 Июня 2011, 13:45:03 » |
|
nat толком настроить. вместо ИП можно указать интерфейс который смотрит наружу
ee /etc/pf.conf set limit states 128000
set optimization aggressive
natt pass on vr0 from 192.168.10.0/24 to any -> vr0 vr0 смотрит на модем у меня так и настроено или я что-то не так понял? внешний у тебя после пппое тун тоетсь так natt pass on vr0 from 192.168.10.0/24 to any -> tun0 тоже в фаере указать Большое вам и 0xbad0c0d3 спасибо за помощь Сменил в pf.conf nat pass on vr0 from 192.168.10.0/24 to any -> tun0 в rc.firewall ifOut='tun0' Теперь все работает! |
|
|
|
|
Записан
|
|
|
|
|
