https://opennet.dev/openforum/vsluhforumID1/85255.html Обнаружил что с KERNEL NAT не работает NAT для PPTP. Одновременно через VPN может работать только 1 пользователь. Конфигурация:<br><br>firewall_enable="YES"<br>firewall_type="OPEN"<br><br>firewall_nat_enable="YES"<br>firewall_nat_interface="vlan0"<br>firewall_nat_flags="same_ports redirect_port tcp 192.168.1.30:210 210 redirect_port tcp 192.168.2.1:6112 6112"<br><br><br>Если так:<br><br>natd_enable="YES"<br>natd_flags="-redirect_port tcp 192.168.1.30:210 210 -redirect_port tcp 192.168.2.1:6112 6112 -unregistered_only -use_sockets -same_ports -punch_fw 19000:100"<br>natd_interface="vlan0"<br><br>то у всех работает нормально.<br><br>Кто нибудь победил ?<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#12 Sat, 19 Jun 2010 13:16:00 GMT &gt;Смотрю тут нат керновый обсуждается, множественные коннекты до сервера за натом с <br>&gt;локалки возможны в случае загруженного модуля alias_pptp.ko. GRE трафик нужно дополнительным <br>&gt;правилом открыть после ната. <br>&gt;ipfw add allow gre from any to any <br>&gt;Ну и не забыть запихнуть трафик в нат от клиента <br>&gt;ipfw add nat 123 (or any) all from any to any via <br>&gt;vlan0 <br><br>а вот почему может переставать работать nat при отключении/подключении заново через pptp?<br><br>описал проблему тут http://www.opennet.ru/openforum/vsluhforumID10/4617.html#0<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#11 Fri, 09 Apr 2010 09:27:51 GMT &gt;поднимайте нат в скрипте pptp после подняния канала и всё будет работать <br>&gt;<br><br>Да и не требуется поднимать pptp на FreeBSD. Она служит маршрутизатором.<br><br><br>Win XP (PPTP Client)---<br>Win 2000 (PPTP Client)----FreeBSD (NAT) ---- Cisco (PPTP Server)<br>Linux (PPTP Client)----<br><br> https://opennet.dev/openforum/vsluhforumID1/85255.html#10 Tue, 02 Mar 2010 15:49:10 GMT Смотрю тут нат керновый обсуждается, множественные коннекты до сервера за натом с локалки возможны в случае загруженного модуля alias_pptp.ko. GRE трафик нужно дополнительным правилом открыть после ната.<br>ipfw add allow gre from any to any<br>Ну и не забыть запихнуть трафик в нат от клиента<br>ipfw add nat 123 (or any) all from any to any via vlan0<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#9 Mon, 15 Feb 2010 12:19:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;использованием памяти в контексте ядра и чтоб их устранить нужно половину <br>&gt;&gt;libalias переписать. Насколько я понимаю Frickin proxy работает в userspace и <br>&gt;&gt;принципиальной разницы между ipfw+natd и pf+frickin нет. Откатился на natd. <br>&gt;&gt;Надо будет еще ng_nat попробовать. <br>&gt;<br>&gt;Если вдруг еще ответ не найден, то надо подгрузить alias_pptp. <br>&gt;kldload alias_pptp <br>&gt;<br>&gt;/boot/loader.conf <br>&gt;alias_pptp_load="YES" <br><br>поднимайте нат в скрипте pptp после подняния канала и всё будет работать<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#8 Tue, 13 Oct 2009 13:00:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;проблема решена? <br>&gt;&gt;c pf nat + gre такие же проблемы, решение через frickin прокси <br>&gt;&gt;для gre <br>&gt;<br>&gt;Нет, решения для kernel nat не нашел. Накопал переписку во FreeBSD maillists, <br>&gt;из которой понял что там все не радужно. Там проблемы с <br>&gt;использованием памяти в контексте ядра и чтоб их устранить нужно половину <br>&gt;libalias переписать. Насколько я понимаю Frickin proxy работает в userspace и <br>&gt;принципиальной разницы между ipfw+natd и pf+frickin нет. Откатился на natd. <br>&gt;Надо будет еще ng_nat попробовать. <br><br>Если вдруг еще ответ не найден, то надо подгрузить alias_pptp.<br>kldload alias_pptp<br><br>/boot/loader.conf<br>alias_pptp_load="YES"<br><br><br><br> https://opennet.dev/openforum/vsluhforumID1/85255.html#7 Mon, 22 Jun 2009 07:55:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;ipfw nat 123 config if vlan0 log <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;не работает. Видимо недопилили. <br>&gt;&gt;<br>&gt;&gt;Поддержка GRE в ядре FreeBSD имеется , модуль GRE загружен ? <br>&gt;<br>&gt;проблема решена? <br>&gt;c pf nat + gre такие же проблемы, решение через frickin прокси <br>&gt;для gre <br><br>Нет, решения для kernel nat не нашел. Накопал переписку во FreeBSD maillists, из которой понял что там все не радужно. Там проблемы с использованием памяти в контексте ядра и чтоб их устранить нужно половину libalias переписать. Насколько я понимаю Frickin proxy работает в userspace и принципиальной разницы между ipfw+natd и pf+frickin нет. Откатился на natd.<br>Надо будет еще ng_nat попробовать.<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#6 Mon, 22 Jun 2009 05:33:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;65000 allow ip from any to any <br>&gt;&gt;65535 deny ip from any to any <br>&gt;&gt;<br>&gt;&gt;#ipfw nat 123 show config <br>&gt;&gt;<br>&gt;&gt;ipfw nat 123 config if vlan0 log <br>&gt;&gt;<br>&gt;&gt;не работает. Видимо недопилили. <br>&gt;<br>&gt;Поддержка GRE в ядре FreeBSD имеется , модуль GRE загружен ? <br><br>проблема решена?<br>c pf nat + gre такие же проблемы, решение через frickin прокси для gre<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#5 Thu, 14 May 2009 08:51:05 GMT &gt;00200 deny ip from any to 127.0.0.0/8 <br>&gt;00300 deny ip from 127.0.0.0/8 to any <br>&gt;65000 allow ip from any to any <br>&gt;65535 deny ip from any to any <br>&gt;<br>&gt;#ipfw nat 123 show config <br>&gt;<br>&gt;ipfw nat 123 config if vlan0 log <br>&gt;<br>&gt;не работает. Видимо недопилили. <br><br>Поддержка GRE в ядре FreeBSD имеется , модуль GRE загружен ?<br> https://opennet.dev/openforum/vsluhforumID1/85255.html#4 Thu, 14 May 2009 03:50:42 GMT <br>&gt;Каковы конечные точки PPTP туннеля? <br>&gt;VPN (PPTP) реализован между FreeBSD и внешним сервером? <br>&gt;<br>&gt;Или между несколькими WinXP и внешним сервером? :-( <br>&gt;Или Вы PPTP трафик, таким образом, закрываете с помощью MPPE? <br>&gt;<br><br>Между несколькими WinXP внутри сети и одним внешним сервером _одновременно_. <br><br>&gt;<br>&gt;Без поддержки GRE PPTP не работает. <br>&gt;echo "if_gre_load=\"YES\"" &gt;&gt; /boot/loader.conf<br>&gt;<br><br>FreeBSD _не_ подключается к VPN. <br><br>#ipfw list<br><br>00050 divert 8668 ip4 from any to any via vlan0<br>00100 allow ip from any to any via lo0<br>00200 deny ip from any to 127.0.0.0/8<br>00300 deny ip from 127.0.0.0/8 to any<br>65000 allow ip from any to any<br>65535 deny ip from any to any<br><br>Так работает. <br><br>А так:<br><br>#ipfw list<br><br>00050 nat 123 ip4 from any to any via vlan0<br>00100 allow ip from any to any via lo0<br>00200 deny ip from any to 127.0.0.0/8<br>00300 deny ip from 127.0.0.0/8 to any<br>65000 allow ip from any to any<br>65535 deny ip from any to any<br><br>#ipfw nat 123 show config<br><br>ipfw nat 123 config if vlan0 log<br><br>н