https://www.opennet.me/openforum/vsluhforumID1/90652.html Здравствуйте,<br>Симптомы следующие:<br> - Система FreeBSD 7.2<br> - Стоит quagga<br> - настравивал не Я<br> - 2 сетевые 1.1.1.1 - внешний 2.2.2.2 - внутренний<br><br>Вопрос в следующем:<br>Я нахожусь в локальной сети (т.е. мой шнур втыкнут в 2.2.2.2)<br>Если я посылаю запрос на адрес 1.1.1.1 то отвечает мне с адреса 2.2.2.2<br>1. Это в ПРИНЦЫПЕ правильное построение или нет? Так как тот же openvpn клиент шибко матюкается на такое поведение и требует установки дополнительных опций в конфигурацию что подхватывать эти ответы.<br>2. Как это лечить<br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#15 Tue, 15 Feb 2011 21:31:16 GMT &gt; Это известная проблема openvpn и freebsd. Не знаю как сейчас дела обстоят <br>&gt; на фряхе, но на линухе это лечится указанием опции multihome в <br>&gt; конфиге openvpn. Появилась начиная с 2.1 кажется <br>&gt; Либо как вариант создавать несколько кинфигов openvpn и в каждом явно привязывать <br>&gt; его к необходимому интерфейсу.<br><br>Именно. multihome во фре не работает. решение - только несколько конфигов. Вот мой пример:<br>http://www.mahno.su/freebsd/network/openvpn-tcp-udp<br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#14 Sat, 01 Jan 2011 12:50:41 GMT Это известная проблема openvpn и freebsd. Не знаю как сейчас дела обстоят на фряхе, но на линухе это лечится указанием опции multihome в конфиге openvpn. Появилась начиная с 2.1 кажется<br><br>Либо как вариант создавать несколько кинфигов openvpn и в каждом явно привязывать его к необходимому интерфейсу.<br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#13 Wed, 29 Dec 2010 14:37:21 GMT Да пошло спасибо<br>&gt; или используйте proto tcp, или обращайтесь на внутренний ip https://www.opennet.me/openforum/vsluhforumID1/90652.html#12 Wed, 29 Dec 2010 14:09:25 GMT &gt;[оверквотинг удален]<br>&gt; comp-lzo <br>&gt; dh dh1024.pem <br>&gt; server 10.67.33.0 255.255.255.0 <br>&gt; ifconfig-pool-persist ipp.txt <br>&gt; client-to-client <br>&gt; keepalive 10 120 <br>&gt; cipher DES-EDE3-CBC <br>&gt; #log openvpn_serv.log <br>&gt; #log-append openvpn_serv.log <br>&gt; #verb 3 <br><br>или используйте proto tcp, или обращайтесь на внутренний ip<br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#11 Wed, 29 Dec 2010 13:25:39 GMT &gt;&gt; telnet 1.1.1.1 80 <br>&gt;&gt; на tcpdump показывает правильно <br>&gt; то есть ответ от 1.1.1.1 отправляет?<br>&gt; а неправильный адрес только при обращении к openvpn? если да, то что <br>&gt; у него в конфиге <br><br>server.conf:<br>port 1194<br>proto udp<br>dev tap<br>tls-server<br>tls-auth ta.key 0<br>ca /etc/ssl/crts/rootCA.crt<br>cert /etc/ssl/openvpn_serv.crt<br>key /etc/ssl/openvpn_serv.key # This file should be kept secret<br>comp-lzo<br>dh dh1024.pem<br>server 10.67.33.0 255.255.255.0<br>ifconfig-pool-persist ipp.txt<br>client-to-client<br>keepalive 10 120<br>cipher DES-EDE3-CBC<br>#log openvpn_serv.log<br>#log-append openvpn_serv.log<br>#verb 3<br><br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#10 Wed, 29 Dec 2010 11:49:24 GMT &gt; telnet 1.1.1.1 80 <br>&gt; на tcpdump показывает правильно <br><br>то есть ответ от 1.1.1.1 отправляет?<br>а неправильный адрес только при обращении к openvpn? если да, то что у него в конфиге<br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#9 Wed, 29 Dec 2010 10:59:17 GMT telnet 1.1.1.1 80<br>на tcpdump показывает правильно<br> https://www.opennet.me/openforum/vsluhforumID1/90652.html#8 Wed, 29 Dec 2010 10:33:30 GMT &gt;&gt; с pf по идеи такого получится не должно было, тем более что <br>&gt;&gt; для nat указан интерфейс. посмотрите не запущен ли ipfw.<br>&gt;&gt; запустите tcpdump на внутреннем интерфейсе.<br>&gt;&gt; pftop - наглядная штука для pf <br>&gt; ipfw - стоит но там только allow\deny и все <br>&gt; tcpdump показывает тоже самое: <br>&gt; 12:18:05.179328 IP 10.0.11.16.63183 &gt; 1.1.1.1.1194: UDP, length 42 <br>&gt; 12:18:05.179489 IP 2.2.2.2.1194 &gt; 10.0.11.16.63183: UDP, length 50 <br><br>а если обращаться не к openvpn<br><br>&gt; Шас иду мониторить pftop-ом <br>&gt; .........<br>&gt; В нем нет ни одной записи связанной с openvpn (смотрел по порту <br>&gt; 1194) https://www.opennet.me/openforum/vsluhforumID1/90652.html#7 Wed, 29 Dec 2010 10:19:54 GMT &gt; с pf по идеи такого получится не должно было, тем более что <br>&gt; для nat указан интерфейс. посмотрите не запущен ли ipfw.<br>&gt; запустите tcpdump на внутреннем интерфейсе.<br>&gt; pftop - наглядная штука для pf <br><br>ipfw - стоит но там только allow\deny и все<br>tcpdump показывает тоже самое:<br>12:18:05.179328 IP 10.0.11.16.63183 &gt; 1.1.1.1.1194: UDP, length 42<br>12:18:05.179489 IP 2.2.2.2.1194 &gt; 10.0.11.16.63183: UDP, length 50<br><br>Шас иду мониторить pftop-ом<br>.........<br>В нем нет ни одной записи связанной с openvpn (смотрел по порту 1194)<br><br>