https://opennet.ru/openforum/vsluhforumID1/88410.html Всем доброго времени суток!<br><br>Имеется сервер FreeBSD 7.1, работающий как шлюз во внешнюю сеть. Соединение с внешкой - через openvpn (интерфейс tap0). Соответственно пользователи из локалки натятся через этот интерфейс (tap0) посредством ipfw и natd. Проблем с натированием нет никаких. Единственная проблема возникает при перезагрузке сервера. Правила ipfw стартуют раньше, чем поднимается интерфейс tap0. Естественно в этом случае natd отказывается работать корректно и ситуацию спасает только передергивание ipfw руками. Попытка засунуть в стартовый скрипт /etc/rc.d/ipfw директиву #REQUIRE: openvpn к желаемому результату не приводит. Демон openvpn стартует до ipfw, но сам интерфейс tap0 не хочет подниматься, даже если в стартовом скрипте openvpn дописать sleep 180. Он честно спит три минуты, но том не менее интерфейс не поднимает. Если кто сталкивался с подобной проблемой - буду признателен за подсказку. Заранее всем спасибо!<br><br>P.S. Просьба не предлагать в качестве решения заменить ipfw на pf. Здесь проблем нет https://opennet.ru/openforum/vsluhforumID1/88410.html#6 Wed, 17 Mar 2010 10:13:22 GMT &gt;В продолжение тему вопрос: <br>&gt;<br>&gt;а разве нельзя устройства tap создавать заранее (при еще не поднятом впн <br>&gt;канале) ? <br>&gt;и вешать на них ипишники? <br>&gt;тогда их можно запросто использовать в статических правилах фаервола. <br><br>Можно. При этом нат вешать на интерфейс динмически, т.е. без привязки к ip.<br>Но вариант через запуска скрипта из openvpn будет логически более правильным.<br> https://opennet.ru/openforum/vsluhforumID1/88410.html#5 Tue, 16 Mar 2010 05:51:52 GMT В продолжение тему вопрос:<br><br>а разве нельзя устройства tap создавать заранее (при еще не поднятом впн канале) ?<br>и вешать на них ипишники?<br>тогда их можно запросто использовать в статических правилах фаервола.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/88410.html#4 Mon, 15 Mar 2010 12:06:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;P.S. Просьба не предлагать в качестве решения заменить ipfw на pf. Здесь <br>&gt;&gt;проблем нет, проверено. Но по ряду причин я не могу юзать <br>&gt;&gt;на указанной машине pf. <br>&gt;<br>&gt;ipfw стартуешь без привязки ната к tap0. А в openvpn есть директива <br>&gt;выполения скрипта при поднятии интерфейса --up cmd. <br>&gt;В этом скрипте проипсывается поднятие ната. <br>&gt;<br>&gt;man openvpn <br><br>Спасибо.<br> https://opennet.ru/openforum/vsluhforumID1/88410.html#3 Mon, 15 Mar 2010 10:23:39 GMT &gt;[оверквотинг удален]<br>&gt;в стартовый скрипт /etc/rc.d/ipfw директиву #REQUIRE: openvpn к желаемому результату не <br>&gt;приводит. Демон openvpn стартует до ipfw, но сам интерфейс tap0 не <br>&gt;хочет подниматься, даже если в стартовом скрипте openvpn дописать sleep 180. <br>&gt;Он честно спит три минуты, но том не менее интерфейс не <br>&gt;поднимает. Если кто сталкивался с подобной проблемой - буду признателен за <br>&gt;подсказку. Заранее всем спасибо! <br>&gt;<br>&gt;P.S. Просьба не предлагать в качестве решения заменить ipfw на pf. Здесь <br>&gt;проблем нет, проверено. Но по ряду причин я не могу юзать <br>&gt;на указанной машине pf. <br><br>ipfw стартуешь без привязки ната к tap0. А в openvpn есть директива выполения скрипта при поднятии интерфейса --up cmd.<br>В этом скрипте проипсывается поднятие ната.<br><br>man openvpn<br><br><br> https://opennet.ru/openforum/vsluhforumID1/88410.html#2 Mon, 15 Mar 2010 09:19:58 GMT &gt;Немного странный вопрос. <br>&gt;Я бы сделал так: <br>&gt;1) Сделал бы настройки в скрипте /etc/rc.firewall что-то типа OPEN из дефолтного <br>&gt;/etc/rc.firewall <br>&gt;2) В конце скрипта который запускает OpenVPN запускал бы уже нужный скрипт <br>&gt;с нужными правилами ipfw. <br>&gt;<br>&gt;Вроде все просто. <br><br>Не катит этот вариант. Как я уже писал, openvpn стартует до ipfw. Но сам интерфейс tap0 поднимается ПОСЛЕ того, как загружаются правила ipfw. Причем не спасает даже директива задержки выполнения sleep в стартовом скрипте openvpn. Ну и кроме того, просто хочется выяснить, каким образом можно заставить отрабатывать правила ipfw после того, как поднимется интерфейс tap0. Есть похожая проблема с pf:<br>http://guruway.wordpress.com/ (Заголовок FreeBSD: как заставить pf ждать подъема mpd(интерфейсов ngX))<br><br>Но предложенное в статье решение не работает для ipfw<br> https://opennet.ru/openforum/vsluhforumID1/88410.html#1 Mon, 15 Mar 2010 08:55:15 GMT Немного странный вопрос.<br>Я бы сделал так:<br>1) Сделал бы настройки в скрипте /etc/rc.firewall что-то типа OPEN из дефолтного /etc/rc.firewall <br>2) В конце скрипта который запускает OpenVPN запускал бы уже нужный скрипт с нужными правилами ipfw.<br><br>Вроде все просто.<br>