https://www.opennet.ru/openforum/vsluhforumID1/89682.html Есть сервер и интернет от Корбины (билайн).<br>Настроил mpd5 и.т.д все соединяется и.т.д все хорошо, но все пакеты посылаемые клиентами подключающимися по VPN исчезают в недрах pf... (по tcpdump их видно на интерфейсе ng1). Домашняя сеть 172.16.5.х vpn сервер раздает с диапазона 200, остальное isc-dhcp<br>Вот pf.conf<br>ext_if="rl0" (Внешний интерфейс)<br>wan_if="ng0" (ВПН соединение к корбине для интернета)<br>int_if="bridge0" (Два локальных интерфейса в сервере обслуживающие локальную сеть)<br>vpn_if="ng1"<br>vbox_if="vboxnet0" (Это инетрфейс virtualboxа)<br>Extr_if="{ng0 rl0}"<br>icmp_types="{echoreq, unreach}"<br>NoRouteIPs = "{ 127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8 }"<br><br>set block-policy drop<br>set loginterface $wan_if<br>set skip on lo0<br>set optimization conservative<br><br>scrub in all<br>scrub out on $wan_if random-id max-mss 1460<br><br># NAT<br>nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -&gt; ($ext_if)<br>nat on $wan_if proto { tcp udp icmp gre } from $int_if:network to any -&gt; ($wan_if)<br>rdr pass on $wan_if proto https://www.opennet.ru/openforum/vsluhforumID1/89682.html#5 Mon, 30 Aug 2010 12:29:50 GMT &gt;&gt;А где пропуск протокола GRE <br>&gt;&gt;оставь одно правило и смотри логи <br>&gt;&gt;pass all log <br>&gt;&gt;например <br>&gt;<br>&gt;а что обязательно заморачиваться на гре-протоколе? у меня mpd+pf и без этого <br>&gt;работал. в правилах ната я бы написал какие подсети натить о <br>&gt;внешнюю локалку rl0(если для всех остальных данный сервак не является шлюзом <br>&gt;по-умолчанию), а все остальное - заворачивать на ng1. а потом уже <br>&gt;фильтрами поэтапно пропускать/отсеивать нужное/ненужное <br><br>попробуйте натить пакеты не из локальной сети ($int_if:network), а из ng1. после подключения по впн ходить клиенты в интернет будут через впн соединение, соответственно и пакеты будут приходить оттуда. натить гре протокол не обязательно, у вас ведь пользователи не собираются устанавливать впн соединения с внешним миром. да и где-то на опеннете видел статью, что пф не правильно это делает и натить гре надо через ipfw и natd<br> https://www.opennet.ru/openforum/vsluhforumID1/89682.html#4 Mon, 30 Aug 2010 12:12:00 GMT &gt;А где пропуск протокола GRE <br>&gt;оставь одно правило и смотри логи <br>&gt;pass all log <br>&gt;например <br><br>а что обязательно заморачиваться на гре-протоколе? у меня mpd+pf и без этого работал. в правилах ната я бы написал какие подсети натить о внешнюю локалку rl0(если для всех остальных данный сервак не является шлюзом по-умолчанию), а все остальное - заворачивать на ng1. а потом уже фильтрами поэтапно пропускать/отсеивать нужное/ненужное<br> https://www.opennet.ru/openforum/vsluhforumID1/89682.html#3 Mon, 30 Aug 2010 00:13:11 GMT А где пропуск протокола GRE<br>оставь одно правило и смотри логи<br>pass all log<br>например<br> https://www.opennet.ru/openforum/vsluhforumID1/89682.html#2 Thu, 26 Aug 2010 09:04:57 GMT &gt;Добавлю что если pf незагрузить (к примеру синтаксическая ошибка) пинги начинают свободно <br>&gt;ходить от VPN клиента к серверу ( <br><br>ну так уберите правила фильтра и проверьте что будет<br><br>у pf есть ограничения по работе с gre<br> https://www.opennet.ru/openforum/vsluhforumID1/89682.html#1 Thu, 26 Aug 2010 08:48:55 GMT Добавлю что если pf незагрузить (к примеру синтаксическая ошибка) пинги начинают свободно ходить от VPN клиента к серверу (<br>