https://www.opennet.ru/openforum/vsluhforumID1/89900.html Поднят VPN cервер на FBSD. Сам сервер для VPN клиента свободно доступен, пингуется и.т.д... А вот другие машины сети VPN клиент не видят и не пингуют... Явно где то перемудрили с правилами<br><br>ext_if="rl0" - интерфейс сети провадера<br>wan_if="ng0" - интернет через vpn<br>int_if="bridge0" - сетевые карты смотрящие в локальную сеть<br>vmail_if="fxp0" - сетвая для vbox бриджа (dmz)<br>vpn_if="ng1" - (ВПН сервер)<br>Extr_if="{ng0 rl0}"<br><br>#lan="172.16.5.0/24"<br>#dmz="172.16.6.0/24"<br><br>icmp_types="{echoreq, unreach}"<br><br>set block-policy drop<br>set loginterface $wan_if<br>set skip on lo0<br>set optimization conservative<br><br>scrub in all<br>scrub out on $wan_if random-id max-mss 1460<br><br># NAT<br>nat on $ext_if proto { tcp udp icmp } from $int_if:network to any -&gt; ($ext_if)<br>nat on $wan_if proto { tcp udp icmp gre } from $int_if:network to any -&gt; ($wan_if)<br>rdr pass on $wan_if proto tcp from any to any port 25 -&gt; 172.16.6.7<br><br>block all<br><br># Traffic from gateway<br>pass out on $ext_if from ($ext_if) to any<br>pass out on $wan_if from ($wan_ https://www.opennet.ru/openforum/vsluhforumID1/89900.html#13 Mon, 27 Sep 2010 16:31:44 GMT &gt;&gt;может ng1 тоже в bridge0 запихнуть? <br>&gt;&gt;я бы vpn клиентам сделал бы другую подсеть, но на вкус и <br>&gt;&gt;цвет .... <br>&gt;<br>&gt;Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 <br>&gt;(виртуальный сервер vbox bridge на fxp0 (vmail_if) <br>&gt;При чем аrp он узнает... Мало того<br><br>172.16.6.7 знает mac адрес 172.16.5.200?<br>172.16.5.200/32 не в подсети 172.16.6.7/24, а значит 172.16.6.7 не должен знать mac адрес 172.16.5.200.<br> <br>или может 172.16.6.7 отправил пакет на шлюз который не понял куда его дальше слать. маршрут к 172.16.5.0/24 по идее должен быть приоритетней чем 172.16.0.0/16, соответственно шлюз должен попытаться отправить его в локалку, а не к vpn клиенту.<br><br>попробуйте tcpdump в это время на bridge0<br>&gt;<br>&gt; length 74: 172.16.6.7 &gt; 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40<br><br>на каком интерфейсе?<br>&gt;<br>&gt;Но увы до 200го пинги уже не доходят... Мистика? <br><br>таблицу маршрутизации с машины с vpn сервером покажите<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#12 Mon, 27 Sep 2010 14:04:04 GMT &gt;может ng1 тоже в bridge0 запихнуть? <br>&gt;я бы vpn клиентам сделал бы другую подсеть, но на вкус и <br>&gt;цвет .... <br><br>Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 (виртуальный сервер vbox bridge на fxp0 (vmail_if)<br>При чем аrp он узнает... Мало того<br><br> length 74: 172.16.6.7 &gt; 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40<br><br>Но увы до 200го пинги уже не доходят... Мистика?<br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#11 Mon, 27 Sep 2010 13:51:13 GMT &gt;&gt;попробуйте в pf разрешить все для bridge0. <br>&gt;&gt;включите логирование того что блокируется и посмотрите. <br>&gt;<br>&gt;Вопрос только как одной строкой снять все запреты для bridge0? Разве pass <br>&gt;quick on $int_if не то что нужно? <br><br>проглядел :)<br><br>&gt;<br>&gt;arp -a <br>&gt;? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge] <br>&gt;? (172.16.5.3) at ... on bridge0 permanent [bridge] <br>&gt;? (10.73.180.179) at ... on rl0 permanent [ethernet] <br>&gt;? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet] <br>&gt;? (172.16.6.1) at ... on fxp0 permanent [ethernet] <br>&gt;? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet] <br><br>может ng1 тоже в bridge0 запихнуть?<br>я бы vpn клиентам сделал бы другую подсеть, но на вкус и цвет ....<br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#10 Mon, 27 Sep 2010 13:41:54 GMT &gt;попробуйте в pf разрешить все для bridge0. <br>&gt;включите логирование того что блокируется и посмотрите. <br><br>Вопрос только как одной строкой снять все запреты для bridge0? Разве pass quick on $int_if не то что нужно?<br><br>arp -a<br>? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge]<br>? (172.16.5.3) at ... on bridge0 permanent [bridge]<br>? (10.73.180.179) at ... on rl0 permanent [ethernet]<br>? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet]<br>? (172.16.6.1) at ... on fxp0 permanent [ethernet]<br>? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#9 Mon, 27 Sep 2010 13:36:07 GMT &gt;[оверквотинг удален]<br>&gt; 172.16.5.200 &gt; 172.16.5.1: ICMP echo request, id 1, seq 616, length 40<br>&gt;17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell <br>&gt;172.16.5.1, length 46 <br>&gt;17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell <br>&gt;172.16.5.1, length 46 <br>&gt;17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell <br>&gt;172.16.5.1, length 46 <br>&gt;17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], <br>&gt;proto ICMP (1), length 60) <br>&gt; 172.16.5.200 &gt; 172.16.5.1: ICMP echo request, id 1, seq 617, length 40<br><br>172.16.5.1 не знает mac адрес 172.16.5.200, и запрашивает его но ответа не получает, а так как подсеть одна , то на шлюз по умолчанию ответ не отправляется<br><br>попробуйте в pf разрешить все для bridge0.<br>включите логирование того что блокируется и посмотрите.<br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#8 Mon, 27 Sep 2010 13:14:12 GMT &gt;&gt;&gt;172.16.5.200 это vpn клиент? <br>&gt;&gt;&gt;vpn клиентам выдаете ip из подсети локалки? <br>&gt;&gt;<br>&gt;&gt;Да именно так. с .200 до .210 <br>&gt;<br>&gt;это конечно дело вкуса ...., <br>&gt;<br>&gt;возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и <br>&gt;посмотрите уходят ли пакеты в локалку и есть ли ответы <br><br>Но ответа у кого .200 так и не получает... Проблема в bridge0? <br>tcpdump -vv -i bridge0<br>tcpdump: listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes<br>17:11:33.521633 IP (tos 0x0, ttl 127, id 361, offset 0, flags [none], proto ICMP (1), length 60)<br> 172.16.5.200 &gt; 172.16.5.1: ICMP echo request, id 1, seq 615, length 40<br>17:11:33.522288 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46<br>17:11:34.514226 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46<br>17:11:35.511779 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46<br>17:11:38.366538 IP (tos 0x0, ttl 127, id 3 https://www.opennet.ru/openforum/vsluhforumID1/89900.html#7 Mon, 27 Sep 2010 13:09:48 GMT &gt;&gt;172.16.5.200 это vpn клиент? <br>&gt;&gt;vpn клиентам выдаете ip из подсети локалки? <br>&gt;<br>&gt;Да именно так. с .200 до .210 <br><br>это конечно дело вкуса ....,<br><br>возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и посмотрите уходят ли пакеты в локалку и есть ли ответы<br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#6 Mon, 27 Sep 2010 13:03:18 GMT &gt;172.16.5.200 это vpn клиент? <br>&gt;vpn клиентам выдаете ip из подсети локалки? <br><br>Да именно так. с .200 до .210<br><br>Еще очень смущает<br>ifconfig<br>ng1: flags=88d1&lt;UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST&gt; metric 0 mtu 1396<br> inet 172.16.5.200 --&gt; 172.16.5.200 netmask 0xffffffff<br><br>Правда в связи с тем что динамический айпи в конфиге mpd стоит<br><br>set pptp self 0.0.0.0<br> https://www.opennet.ru/openforum/vsluhforumID1/89900.html#5 Mon, 27 Sep 2010 13:00:18 GMT &gt;а в локалке кто шлюзом указан? машина с vpn сервером? <br><br>В локальной сети VPN сервера? Да именно он и является. В случае VPN клиента галочка (использовать шлюз удаленной сети как основной) никак не влияет на прохождение пингов<br>