https://opennet.ru/openforum/vsluhforumID1/92038.html Всем привет!<br><br>Имеется за опенком windows 2003 с поднятым VPN<br>требуется сделать проброс GRE и 1723<br>На релизе 4.3 такую штуку когда то настраивал,<br>а в 4.9 - ни чего не получается!<br>Можт что неуглядел?<br><br># /etc/pf.conf<br>#=============<br>ext_if="rl0"<br>int_if="rl1"<br>tcp_services = "{ ssh, smtp, domain, www, https, ntp, ftp, 43, 113, 1723 }"<br>udp_services = "{ domain, ntp, ftp }"<br>icmp_types = "{ echoreq, unreach }"<br>SERV_VPN = "192.168.3.8/32"<br><br>set block-policy return<br>table &lt;sshbf&gt; persist<br>set skip on lo<br>match out on $ext_if from !($ext_if) nat-to ($ext_if)<br><br># Enable GRE<br><br>match in on $ext_if proto tcp from any to ($ext_if) port 1723 rdr-to $SERV_VPN port 1723<br>match in on $ext_if proto GRE from any to ($ext_if) rdr-to $SERV_VPN<br><br>match out on $ext_if proto tcp from any to ($ext_if) port 1723 rdr-to $SERV_VPN port 1723<br>match out on $ext_if proto GRE from any to ($ext_if) rdr-to $SERV_VPN<br><br>#Enable ports for FTP Passive Mode<br>pass in on $ext_if proto tcp from any to any port &gt; 49151 keep state<br><br># https://opennet.ru/openforum/vsluhforumID1/92038.html#7 Thu, 04 Aug 2011 14:14:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; И разрешить все исходящее с внешнего и внутреннего интерфейсов.<br>&gt;&gt;&gt;&gt; А все остальные правила, связаные с ВПН в конфиг-файле закоментируйте.<br>&gt;&gt;&gt;&gt; Вообще в таких ситуациях нужно сначала по-максимуму разрешить, а потом постепенно урезать <br>&gt;&gt;&gt;&gt; + юзать тспдамп.<br>&gt;&gt;&gt;&gt; А сервер ВПН внутри сети. Какой у него дефаулт гейтыей?<br>&gt;&gt;&gt; не очень понятно, зачем gre редиректить? почему его просто не пропустить?<br>&gt;&gt; Куда пропустить? У него ВПН за НАТом.<br>&gt; и что?<br>&gt; порт 1723 редиректить <br>&gt; протокол GRE разрешить <br><br>Не знаю. Я в свое время тоже долго парился. А потом кто-то подсказал как сделать. Я отписал рабочее решение.<br> https://opennet.ru/openforum/vsluhforumID1/92038.html#6 Thu, 04 Aug 2011 12:09:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; И второе <br>&gt;&gt;&gt; pass in quick on $ext_if inet proto gre from any to $ext_if <br>&gt;&gt;&gt; rdr-to $SERV_VPN <br>&gt;&gt;&gt; И разрешить все исходящее с внешнего и внутреннего интерфейсов.<br>&gt;&gt;&gt; А все остальные правила, связаные с ВПН в конфиг-файле закоментируйте.<br>&gt;&gt;&gt; Вообще в таких ситуациях нужно сначала по-максимуму разрешить, а потом постепенно урезать <br>&gt;&gt;&gt; + юзать тспдамп.<br>&gt;&gt;&gt; А сервер ВПН внутри сети. Какой у него дефаулт гейтыей?<br>&gt;&gt; не очень понятно, зачем gre редиректить? почему его просто не пропустить?<br>&gt; Куда пропустить? У него ВПН за НАТом.<br><br>и что?<br>порт 1723 редиректить<br>протокол GRE разрешить<br><br> https://opennet.ru/openforum/vsluhforumID1/92038.html#5 Thu, 04 Aug 2011 12:05:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt; port 1723 rdr-to $SERV_VPN port 1723 <br>&gt;&gt; И второе <br>&gt;&gt; pass in quick on $ext_if inet proto gre from any to $ext_if <br>&gt;&gt; rdr-to $SERV_VPN <br>&gt;&gt; И разрешить все исходящее с внешнего и внутреннего интерфейсов.<br>&gt;&gt; А все остальные правила, связаные с ВПН в конфиг-файле закоментируйте.<br>&gt;&gt; Вообще в таких ситуациях нужно сначала по-максимуму разрешить, а потом постепенно урезать <br>&gt;&gt; + юзать тспдамп.<br>&gt;&gt; А сервер ВПН внутри сети. Какой у него дефаулт гейтыей?<br>&gt; не очень понятно, зачем gre редиректить? почему его просто не пропустить?<br><br>Куда пропустить? У него ВПН за НАТом.<br> https://opennet.ru/openforum/vsluhforumID1/92038.html#4 Thu, 04 Aug 2011 10:30:44 GMT &gt;[оверквотинг удален]<br>&gt; pass in quick on $ext_if inet proto tcp from any to $ext_if <br>&gt; port 1723 rdr-to $SERV_VPN port 1723 <br>&gt; И второе <br>&gt; pass in quick on $ext_if inet proto gre from any to $ext_if <br>&gt; rdr-to $SERV_VPN <br>&gt; И разрешить все исходящее с внешнего и внутреннего интерфейсов.<br>&gt; А все остальные правила, связаные с ВПН в конфиг-файле закоментируйте.<br>&gt; Вообще в таких ситуациях нужно сначала по-максимуму разрешить, а потом постепенно урезать <br>&gt; + юзать тспдамп.<br>&gt; А сервер ВПН внутри сети. Какой у него дефаулт гейтыей?<br><br>не очень понятно, зачем gre редиректить? почему его просто не пропустить?<br> https://opennet.ru/openforum/vsluhforumID1/92038.html#3 Thu, 04 Aug 2011 10:19:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt; с использованием правила <br>&gt;&gt; match .....<br>&gt; спасибо, <br>&gt; поправил, но не работает!<br>&gt; ### VPN <br>&gt; match in on $ext_if inet proto tcp from any to $ext_if port <br>&gt; 1723 rdr-to $SERV_VPN port 1723 <br>&gt; pass in on $ext_if inet proto gre from any to $ext_if rdr-to <br>&gt; $SERV_VPN <br>&gt; ### END VPN <br><br> А попробуйте поменять первое правило. <br><br>pass in quick on $ext_if inet proto tcp from any to $ext_if port 1723 rdr-to $SERV_VPN port 1723<br><br>И второе <br>pass in quick on $ext_if inet proto gre from any to $ext_if rdr-to $SERV_VPN <br><br>И разрешить все исходящее с внешнего и внутреннего интерфейсов.<br>А все остальные правила, связаные с ВПН в конфиг-файле закоментируйте.<br><br>Вообще в таких ситуациях нужно сначала по-максимуму разрешить, а потом постепенно урезать + юзать тспдамп.<br><br>А сервер ВПН внутри сети. Какой у него дефаулт гейтыей?<br> https://opennet.ru/openforum/vsluhforumID1/92038.html#2 Thu, 04 Aug 2011 09:27:37 GMT &gt;[оверквотинг удален]<br>&gt; сервака, за которым стоит Винь2003 с поднятым pptp vpn <br>&gt; ### VPN <br>&gt; rdr on $ext_if inet proto tcp from any to \ <br>&gt; $ext_if port 1723 -&gt; $internal_vpn port 1723 <br>&gt; rdr pass on $ext_if inet proto gre from any to $ext_if -&gt; <br>&gt; $internal_vpn <br>&gt; ### END VPN <br>&gt; Это на Фре8.2. Так что в вашей ОС его следует модифицировать <br>&gt; с использованием правила <br>&gt; match .....<br><br>спасибо,<br>поправил, но не работает!<br>### VPN<br>match in on $ext_if inet proto tcp from any to $ext_if port 1723 rdr-to $SERV_VPN port 1723<br>pass in on $ext_if inet proto gre from any to $ext_if rdr-to $SERV_VPN<br>### END VPN<br> https://opennet.ru/openforum/vsluhforumID1/92038.html#1 Tue, 02 Aug 2011 17:51:18 GMT &gt;[оверквотинг удален]<br>&gt; tcpdump: listening on pflog0, link-type PFLOG <br>&gt; Aug 02 18:15:03.335465 rule 38/(match) pass in on rl0: 212.158.165.10.50144 &gt; 192.168.3.8.1723: <br>&gt; S 3676967566:3676967566(0) win 65535 &lt;mss 1460,nop,wscale 3,nop,nop,timestamp 850105329 <br>&gt; 0,[&#124;tcp]&gt; (DF) <br>&gt; Aug 02 18:15:03.335522 rule 40/(match) pass out on rl1: 212.158.165.10.50144 &gt; 192.168.3.8.1723: <br>&gt; S 3676967566:3676967566(0) win 65535 &lt;mss 1460,nop,wscale 3,nop,nop,timestamp 850105329 <br>&gt; 0,[&#124;tcp]&gt; (DF) <br>&gt; и на этом все!!!<br>&gt; куда хоть копать?<br>&gt; плз <br><br>Я не вчитывался в ваши правила пакетника, но вот пример с работающего сервака, за которым стоит Винь2003 с поднятым pptp vpn<br><br>### VPN<br>rdr on $ext_if inet proto tcp from any to \<br>$ext_if port 1723 -&gt; $internal_vpn port 1723<br>rdr pass on $ext_if inet proto gre from any to $ext_if -&gt; $internal_vpn<br>### END VPN<br><br> Это на Фре8.2. Так что в вашей ОС его следует модифицировать с использованием правила<br> match .....<br><br><br>