Real IP через PppoE

[fides]

Здравствуйте, значит имеется система с freebsd, на ней билинг нодени.
Две сетевые карты em0 смотрит в интернет, em1 в локалку. ОТ провайдера получены 5 белых Ип адресов (194.8.145.220-225).
Адрес em0 = 194.8.145.186. Клиенты авторизируются через PPPoE. По словам провайдера они со своей стороны маршруты настроили, у меня все должно работать. Прописал Ип адрес в билинг, клиенту при подключению адрес выдается без проблем. Клиент от себя пингует em0 и только, дальше пинги не идут. Пингуем ya.ru и шлюз провайдера 194.8.145.185 смотрим tcpdump
tcpdump -n -i ng44 icmp

Код:

23:32:41.932567 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6299, length 1008
23:32:43.430860 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6300, length 1008
23:32:46.940479 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6301, length 1008
23:32:48.438147 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6302, length 1008
23:32:51.932829 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6303, length 1008
23:32:53.430519 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6304, length 1008
23:32:56.941272 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6305, length 1008
23:32:58.439017 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6306, length 1008
23:33:01.933029 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6307, length 1008
23:33:03.431083 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6308, length 1008
23:33:07.036243 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6309, length 1008
23:33:08.438662 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6310, length 1008
23:33:11.933842 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6311, length 1008
23:33:13.446529 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6312, length 1008
23:33:16.941191 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6313, length 1008
23:33:18.440857 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 6314, length 1008
23:33:21.933466 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 6315, length 1008

Признаю особыми познаниями не владею, но к сожалению обратится к человеку который все настраивал нету физической возможности уже так с года полтора, поэтому учусь и делаю все сам. Прошу хотя бы подсказать в какую сторону копать, у меня или провайдера.
ipfw list

Код:

00001 allow icmp from 194.8.145.220 to 194.8.145.186
00002 allow icmp from 194.8.145.186 to 194.8.145.220
00050 allow tcp from any to me dst-port 22,80,443,8080,1723
00051 allow tcp from me 22,80,443,8080,1723 to any
00052 allow gre from me to any
00053 allow gre from any to me
00054 allow ip from 192.168.11.1 to 192.168.10.0/24
00055 allow ip from 192.168.10.0/24 to 192.168.11.1
00056 allow ip from 192.168.11.1 to 192.168.31.0/24
00057 allow ip from 192.168.31.0/24 to 192.168.11.1
00100 deny tcp from any to any dst-port 445
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00140 deny ip from any to table(120)
00150 deny ip from table(120) to any
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via em0
00300 skipto 4500 ip from any to any in
00400 ngtee 100 ip from any to any
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00510 ngtee 100 ip from any to any
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state
01020 allow udp from any to any keep-state
01100 allow ip from any to any
02000 check-state
02010 allow icmp from any to any
02020 allow tcp from any to any dst-port 80,443
02050 deny ip from any to any via em0
02060 allow udp from any to any dst-port 53,7723
02100 deny ip from any to any
05000 deny ip from not table(0) to any
05001 skipto 5010 ip from table(127) to table(126)
05002 skipto 5030 ip from any to not table(2)
05003 deny ip from any to not table(1)
05004 pipe tablearg ip from table(21) to any
05005 deny ip from any to any
05010 pipe tablearg ip from table(127) to any
05030 deny tcp from table(15) to any dst-port 25,445
05400 pipe tablearg ip from table(11) to any
32000 deny ip from any to any
32490 deny ip from any to any
33000 pipe tablearg ip from table(126) to table(127)
33001 skipto 33010 ip from not table(2) to any
33002 pipe tablearg ip from any to table(20)
33003 deny ip from any to any
33400 pipe tablearg ip from any to table(10)
65535 allow ip from any to any

rc.conf

Код:

ifconfig_em0="inet 194.8.145.186 netmask 255.255.255.252"
ifconfig_em1="inet 192.168.5.1 netmask 255.255.255.0"

defaultrouter="194.8.145.185"
gateway_enable="YES"
fsck_y_enable="YES"
sshd_enable="YES"

# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="NO"
sendmail_enable="NO"    # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="NO"     # Start a localhost-only MTA for mail submission
sendmail_outbound_enable="NO"   # Dequeue stuck mail (YES/NO).
sendmail_msp_queue_enable="NO"  # Dequeue stuck clientmqueue mail (YES/NO).
mysql_enable="YES"
mysql_args="--sql-mode=''"
apache22_enable="YES"
nodeny_enable="YES"
noserver_enable="YES"
nol2auth_enable="YES"
ngnetflow_enable="YES"
named_enable="YES"
firewall_enable="YES"
mpd_enable="YES"
radiusd_enable="YES"
pf_enable="YES"
snmpd_enable="YES"
mrtg_daemon_enable="YES"

Перелопатил инфу на форуме насколько мог. Но так и не понял, это у меня фаирвол блокирует, или мне надо бинатом пропускать, или еще чего, или вообще провайдер лукавит, и проблемы у него. Буду благодарен за любую помощ.

[Cell]

Так фигли на туннеле дамп смотреть? ты смотри на исходящем интерфейсе em0 надо полагать.
Сразу станет понятно что происходит. Если от 220 пакетов нет вообще, значит не пускает файрвол. Если есть, но только исходящие значит лукавит провайдер. Если есть и исходящие и входящие - значит опять файрвол.
Но что-то мне подсказывает, что мухлюет провайдер )))) скорее всего не из злого умысла, а по халатности )))
т.к. из мира трасса не доходит до вашего сервера а умирает на шлюзе вашего провайдера.

[Redmen]

если настроен nat то для белих ИП надо либо binat либо мимо ната пускать
почитай http://skeletor.org.ua/?p=2217

[fides]

tcpdump -n -i em0 icmp | grep 194.8.145.220

Код:

02:56:47.689222 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21606, length 1008
02:56:49.186239 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21608, length 1008
02:56:52.681216 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21613, length 1008
02:56:54.179215 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21615, length 1008
02:56:57.688716 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21620, length 1008
02:56:59.187220 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21622, length 1008
02:57:02.681715 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21627, length 1008
02:57:04.179726 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21629, length 1008
02:57:07.689715 IP 194.8.145.220 > 213.180.193.3: ICMP echo request, id 1, seq 21634, length 1008
02:57:09.187221 IP 194.8.145.220 > 194.8.145.185: ICMP echo request, id 1, seq 21636, length 1008

пакеты идут но не возвращаются, значит лукавит провайдер, завтра с утра буду жаловаться. Спасибо.

[fides]

Ну насколько я понимаю ничего особо тут не натится.
cat /etc/pf.conf

Код:

set limit states 128000
set optimization aggressive
nat pass on em0 from 10.0.0.0/8 to any -> em0
nat pass on em0 from 192.168.0.0/16 to any -> em0

[Cell]

с утра буду жаловаться.

в самую тютельку )

[fides]

Все после 2 дней танцев с бубнами, втык провайдеру решил проблему через 2 часа. Спасибо за помощь.