https://m.opennet.dev/openforum/vsluhforumID1/98025.html Подскажите в чем может быть проблема, никак не могу понять в чем затык. <br>Общая схема: <br>1. Есть в локальной сети сервер FreeBSD у него один интерфейс: 192.168.11.17/24 шлюз 192.168.11.254, так же на нем поднят openvpn клиент до впн сервера в интернете. Адрес на интерфейсе vpn tun0 10.23.23.5, адрес на серверной стороне туннеля 10.23.23.1<br>Так же на нем включен форвардинг в rc.conf <br>[CODE]<br>gateway_enable="YES"<br>[/CODE]<br>ifconfig<br>[CODE]<br>em0: flags=1008843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP&gt; metric 0 mtu 1500<br> options=48525bb&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,LRO,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,HWSTATS,MEXTPG&gt;<br> ether 6a:c8:76:e2:46:98<br> inet 192.168.11.17 netmask 0xffffff00 broadcast 192.168.11.255<br> media: Ethernet autoselect (1000baseT &lt;full-duplex&gt;)<br> status: active<br> nd6 options=29&lt;PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL&gt;<br>lo0: flags=1008049&lt;UP,LOOPBACK,RUNNING,MULTICAST,LOWER_UP&gt; metric 0 mtu 16384<br> options= https://m.opennet.dev/openforum/vsluhforumID1/98025.html#16 Wed, 19 Mar 2025 04:54:18 GMT Раз в тысячу лет зашел на опеннет.<br>А тут всё так же - KomaLex, FreeBSD. Как и 20 лет назад ))<br>Привет из Томска. ))<br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#15 Sat, 15 Mar 2025 01:12:13 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; -A POSTROUTING -s 192.168.11.0/24 -o ens3 -j MASQUERADE <br>&gt;&gt;&gt; -A POSTROUTING -o tun0 -j MASQUERADE <br>&gt;&gt; ...<br>&gt;&gt;&gt; пакеты видит, а вот на интерфейсе тунеля на сервере уже нет, либо <br>&gt;&gt;&gt; он их отбрасывает где то до того как они попадают в <br>&gt;&gt;&gt; tcpdump <br>&gt;&gt;&gt; tcpdump host 192.168.11.22 -i tun0 <br>&gt;&gt;&gt; Пусто хотя в это время пинги идут <br>&gt;&gt; Мыслей не возникает почему оно так?<br>&gt; Пока что-то нет. <br><br>Плохо, очень плохо что не возникает. Вам разжевали и в рот положили, а вы даже глотать не хотите, печально.<br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#13 Thu, 30 Jan 2025 07:10:15 GMT &gt;[оверквотинг удален]<br>&gt; 192.168.11.0 10.23.23.5 255.255.255.0 <br>&gt; UG 0 <br>&gt; 0 0 tun0 <br>&gt; [/CODE] <br>&gt; Пробовал на втором сервере на интерфесе тунеля вешать нат, не помогает. Хотя <br>&gt; это вряд ли влияет. По идее при такой схеме, ну по <br>&gt; крайней мере мне так нужно, на внешний интерфейс второго сервера должен <br>&gt; приходить пакет с обратным адресом из подсети 192.168.11.0/24 и там уже <br>&gt; нат меняет алрес. Но почему то не дохоит куда надо пакет. <br>&gt; Тунель внутри ssh, провайдер ничего не видит и не блокирует.<br><br>Попробуйте выполнить ping с компьютера, который посылает пакеты, на адрес 8.8.8.8 и посмотрите, отражаются ли эти пинг-запросы на сервере 1 и на сервере 2:<br><br>На сервере 1:<br><br> <br>sh language-bash<br><br> Копировать код<br>tcpdump -i tun0<br><br>На сервере 2:<br><br> <br>sh language-bash<br><br> Копировать код<br>tcpdump -i ens3<br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#12 Mon, 13 Jan 2025 07:05:35 GMT &gt;[оверквотинг удален]<br>&gt; Пока что-то нет. Есть небольшая странность, если я с сервера в интернете <br>&gt; пингую внутренние адреса, из подсети 192.168.11.0/24 в tcpdump показывает внутреннее имя <br>&gt; серверва, которое разрешается в локалхост 127.0.0.1, это очень странно, поскольку маршрут <br>&gt; в подсеть 192.168.11.0/24 стоит через интерфейс тунеля и по идее, он <br>&gt; должен отправлять пакеты с адреса висящего на тунеле. Хотя с другой <br>&gt; стороны, это не должно влиять. Потому, что на тунеле висит безусловный <br>&gt; нат и он натом дожен все равно менять адрес на адрес <br>&gt; тунеля.<br>&gt; Да и на пакеты проходящие со стороны локальной подсети это не влияет. <br>&gt; Они вообще не доходят.<br><br>В общем, пересобрал ядро, через ipfw nat все заработало. Но очень странно, хотелось бы все таки разобраться почему без ната не хочет работать. Канал в общем то тестовый, если есть интерес и идеи готов потестить. <br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#11 Mon, 13 Jan 2025 02:08:21 GMT &gt;&gt; iptables -t nat -S <br>&gt;&gt; -A POSTROUTING -s 192.168.11.0/24 -o ens3 -j MASQUERADE <br>&gt;&gt; -A POSTROUTING -o tun0 -j MASQUERADE <br>&gt; ...<br>&gt;&gt; пакеты видит, а вот на интерфейсе тунеля на сервере уже нет, либо <br>&gt;&gt; он их отбрасывает где то до того как они попадают в <br>&gt;&gt; tcpdump <br>&gt;&gt; tcpdump host 192.168.11.22 -i tun0 <br>&gt;&gt; Пусто хотя в это время пинги идут <br>&gt; Мыслей не возникает почему оно так?<br><br>Пока что-то нет. Есть небольшая странность, если я с сервера в интернете пингую внутренние адреса, из подсети 192.168.11.0/24 в tcpdump показывает внутреннее имя серверва, которое разрешается в локалхост 127.0.0.1, это очень странно, поскольку маршрут в подсеть 192.168.11.0/24 стоит через интерфейс тунеля и по идее, он должен отправлять пакеты с адреса висящего на тунеле. Хотя с другой стороны, это не должно влиять. Потому, что на тунеле висит безусловный нат и он натом дожен все равно менять адрес на адрес тунеля.<br>Да и на пакеты проходящие со стороны локальной подсети это не влияет. Они вообще не доходят. <br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#10 Sun, 12 Jan 2025 18:58:17 GMT &gt; iptables -t nat -S <br>&gt; -A POSTROUTING -s 192.168.11.0/24 -o ens3 -j MASQUERADE <br>&gt; -A POSTROUTING -o tun0 -j MASQUERADE <br><br>...<br>&gt; пакеты видит, а вот на интерфейсе тунеля на сервере уже нет, либо <br>&gt; он их отбрасывает где то до того как они попадают в <br>&gt; tcpdump <br>&gt; tcpdump host 192.168.11.22 -i tun0 <br>&gt; Пусто хотя в это время пинги идут <br><br>Мыслей не возникает почему оно так?<br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#9 Wed, 08 Jan 2025 04:24:17 GMT &gt; Дальше: пакетов от 192.168.11.22 на ens3 не появляется? Что говорит tcpdump?<br>&gt; Дальше: что в -t nat в iptables?<br><br>Естественно вытсавлен<br>[code]<br>net.ipv4.ip_forward = 1<br>[/code]<br>iptables -t nat -L<br>[code]<br>Chain PREROUTING (policy ACCEPT)<br>target prot opt source destination<br><br>Chain INPUT (policy ACCEPT)<br>target prot opt source destination<br><br>Chain OUTPUT (policy ACCEPT)<br>target prot opt source destination<br><br>Chain POSTROUTING (policy ACCEPT)<br>target prot opt source destination<br>MASQUERADE all -- 10.22.22.0/24 anywhere<br>MASQUERADE all -- 10.23.23.0/24 anywhere<br>MASQUERADE all -- 192.168.11.0/24 anywhere<br>MASQUERADE all -- anywhere anywhere<br>[/code]<br><br>iptables -t nat -S<br>[code]<br>-P PREROUTING ACCEPT<br>-P INPUT ACCEPT<br>-P OUTPUT ACCEPT<br>-P POSTROUTING ACCEPT<br>-A POSTROUTING -s 10.22.22.0/24 -o ens3 -j MASQUERADE<br>-A POSTROUTING -s 10.23.23.0/24 -o ens3 -j MASQUERADE<br>-A POSTROUTING -s 192.168.1 https://m.opennet.dev/openforum/vsluhforumID1/98025.html#8 Wed, 08 Jan 2025 04:11:02 GMT &gt; А какие машруты на компутире в локалке?<br><br>[code]<br> 0.0.0.0 0.0.0.0 192.168.11.254 192.168.11.22 25<br> 8.8.8.8 255.255.255.255 192.168.11.17 192.168.11.22 26<br> 10.23.23.0 255.255.255.0 192.168.11.17 192.168.11.22 26<br>[/code]<br>Пингую адрес 8.8.8.8<br> https://m.opennet.dev/openforum/vsluhforumID1/98025.html#7 Sun, 29 Dec 2024 17:52:34 GMT Нюхай интерфейсы на втором серве и смотри фаер - куда то пакет девается если в тоннель залетает нормально.<br>