stix
NoDeny
Спец
Карма: 72
 Offline
Сообщений: 1872
Nodeny Support Team
|
 |
« Ответ #15 : 10 Июня 2010, 19:54:01 » |
|
он GRE туннели не пропускает. а если я ставлю вначало allow gre, то он не натится....  мне тяжело перестроить мышление на ipfw, потому вот так делаю как в аналогии линукса и с pipe я не знаком... |
|
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #16 : 10 Июня 2010, 20:20:44 » |
|
мдяя ну кто же тебе тогда доктор?  |
|
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #17 : 10 Июня 2010, 20:23:09 » |
|
${f} add 2070 allow tcp from any to any 1723
${f} add 2080 allow gre from any to any |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #18 : 10 Июня 2010, 20:32:50 » |
|
фигушки....потому и изобретаю велосипеды 02070 0 0 allow tcp from any to any dst-port 1723
02080 0 0 allow gre from any to any
|
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #19 : 10 Июня 2010, 20:49:55 » |
|
${f} add 2070 allow tcp from any to any 1723
${f} add 2080 allow gre from any to any2070 -> 2030 2080 -> 2040 т.к. 2050 рубает все пакеты на внешнем интерфейсе |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #20 : 10 Июня 2010, 20:50:31 » |
|
02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723
Ну вот совершенно рабочий вариант. Че вы беса гоните? |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #21 : 10 Июня 2010, 20:51:14 » |
|
Упс... опередили )))
|
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #22 : 10 Июня 2010, 21:00:59 » |
|
02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723
Ну вот совершенно рабочий вариант. Че вы беса гоните? чтоб я матом, вот уж х.. pptp подключается, а трафик уже не натится ни в первом, ни во втором варианте. мой моск сломан |
|
|
|
|
Записан
|
|
|
|
elite
Начальник планеты
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1226
In LAN we trust!
|
|
« Ответ #23 : 10 Июня 2010, 21:13:57 » |
|
2070 -> 2030
2080 -> 2040
т.к. 2050 рубает все пакеты на внешнем интерфейсе
а нафиг ему на внешнем интерфейсе? |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #24 : 10 Июня 2010, 21:16:52 » |
|
я ж подключаюсь через внешний интерфейс к сети (fxp0)
подключился на внешний маршрутизируемый ip и получил фейковый (192.168.)
затем через нат вылетел с этого же fxp0 и его маскарадным ip
(это нужно для меня и 2х человек, которые с другой сети через vpn берут статический Ip)
+ юзеры будут подключаться через второй интерфейс, который будет еще в транковом порту (fxp1)
на fxp1 подняты несколько десятков вланов.
сейчас на микротике и линухе такое работает
|
|
|
|
« Последнее редактирование: 10 Июня 2010, 21:19:05 от stimels »
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #25 : 10 Июня 2010, 21:55:19 » |
|
2070 -> 2030
2080 -> 2040
т.к. 2050 рубает все пакеты на внешнем интерфейсе
а нафиг ему на внешнем интерфейсе? честно говоря, я не вчитался в ТЗ, думал речь идет о пптп не клиентских, а соединение сервер-провайдер |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #26 : 10 Июня 2010, 22:05:00 » |
|
pptp подключается, а трафик уже не натится
ни в первом, ни во втором варианте.
мой моск сломан
если у тебя pf nat, то отладить его проще всего с : ipfw add 1 allow ip from any to any 172.16.100.1 - этот ip явно прописан на каком-либо интерфейсе? |
|
|
|
|
Записан
|
|
|
|
stix
NoDeny
Спец
Карма: 72
Offline
Сообщений: 1872
Nodeny Support Team
|
|
« Ответ #27 : 10 Июня 2010, 22:37:58 » |
|
нет, я уже перестроил все на 192.168.0.1 да, pf nat при ipfw add 1 allow ip from any to any трафик ходит и pptp подключается но смысл отпадает в блокировании юзеров через биллинг и не работает шейпер |
|
|
|
|
Записан
|
|
|
|
Cell
NoDeny
Спец
Карма: 52
Offline
Сообщений: 1407
|
|
« Ответ #28 : 10 Июня 2010, 22:56:36 » |
|
Если у тебя при ipfw add 1 allow ip from any to any трафик ходит и pptp подключается значит у тебя не правильно настроен файрвол... либо сам биллинг. Какие ипы выдает у тебя биллинг при коннекте по впн? покажи ifconfig при этом покажи действующий в настоящий момент конфиг mpd с учетом переделок и в любом случае мое глубокое ИМХО что 16-тые сети в нат загонять не есть гуд т.к. вам никогда в жизни не понадобится столько. |
|
|
|
|
Записан
|
|
|
|
|
Efendy
|
|
« Ответ #29 : 10 Июня 2010, 23:47:58 » |
|
но смысл отпадает в блокировании юзеров через биллинг и не работает шейпер
читай внимательно: если у тебя pf nat, то отладить его проще всего с : это был совет по отладке pfnat. Ты же кипешевал, что ничего не натится! Теперь оказалось, что дело именно в фаерволе. Может не нужно было делать allow from any to any и дальше искать пальцем в небо? |
|
|
|
|
Записан
|
|
|
|
|
