forum.opennet.ru - "VPN не NAT-ится" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"VPN не NAT-ится"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"VPN не NAT-ится"
Сообщение от VPN_must_DIE on 22-Фев-05, 12:53 (MSK)
Есть FreeBSD подключенная к VPN с помощью MPD есть необходимость открыть NAT для внутренней сети, чтобы они могли лазить в интернет. Сам сервер видет интернет, а вот внутренняя сетка не видет... как не крути :( Помогите пожалуста открыть NAT. в rc.conf внутреняя xl0 с ip 192.168.0.3 mask 255.255.255.0 внешняя xl1 с ip 10.10.100.44 mask 255.255.255.0 enable_gateway="YES" natd_enable="YES" natd_interface="ng0" natd_flags="-dynamic" в resolv.conf nameserver первый dns провайдера nameserver второй dns провайдера ipfw show 00050 55 5815 divert 8668 ip from any to any via ng0 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 7911 919292 allow ip from any to any 65535 0 0 deny ip from any to any **netstat -rn до соединения с VPN Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 10.10.100.1 UGS 0 5114 xl1 10.10.100/24 link#2 UC 0 0 xl1 10.10.100.1 00:07:e9:09:88:0a UHLW 1 0 xl1 1191 127.0.0.1 127.0.0.1 UH 0 0 lo0 192.168.0 link#1 UC 0 0 xl0 192.168.0.1 4c:00:10:52:58:6b UHLW 0 1717 xl0 768 **netstat -rn после соединения с VPN Internet: Destination Gateway Flags Refs Use Netif Expire default 10.1.4.1 UGS 0 5156 ng0 10.1.4.1 10.1.6.49 UH 1 0 ng0 10.1.6.49 lo0 UHS 0 0 lo0 10.10.100/24 link#2 UC 0 0 xl1 10.10.100.1 00:07:e9:09:88:0a UHLW 1 0 xl1 1194 127.0.0.1 127.0.0.1 UH 0 0 lo0 192.168.0 link#1 UC 0 0 xl0 192.168.0.1 4c:00:10:52:58:6b UHLW 0 1800 xl0 1182 195.225.130.12 10.10.100.1 UGHS 0 53 xl1
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

VPN не NAT-ится, VPN_must_DIE, 17:28 , 22-Фев-05, (1)
VPN не NAT-ится, denn, 18:01 , 22-Фев-05, (2)
VPN не NAT-ится, Simps, 19:40 , 22-Фев-05, (3)
- VPN не NAT-ится, Ka3aK, 21:15 , 22-Фев-05, (4)
  - VPN не NAT-ится, IZh, 08:55 , 23-Фев-05, (5)
    - VPN не NAT-ится, Ka3aK, 09:40 , 24-Фев-05, (6)
VPN не NAT-ится, Grayich, 10:45 , 24-Фев-05, (7)
- VPN не NAT-ится, aliv, 11:24 , 24-Фев-05, (8)
  - VPN не NAT-ится, Ka3aK, 14:56 , 24-Фев-05, (9)
    - VPN не NAT-ится, A Clockwork Orange, 15:06 , 24-Фев-05, (10)
      - VPN не NAT-ится, aliv, 15:10 , 24-Фев-05, (11)
        
        VPN не NAT-ится, YuryD, 16:18 , 24-Фев-05, (12)
        
        VPN не NAT-ится, Ka3aK, 22:09 , 24-Фев-05, (14)
VPN не NAT-ится, rakshas, 22:04 , 24-Фев-05, (13)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "VPN не NAT-ится"

Сообщение от VPN_must_DIE on 22-Фев-05, 17:28  (MSK)

совсем никто не поможет :(
хоть какую-нибудь идею выдвинул кто...
я сам не знаю за что хвататься даже :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "VPN не NAT-ится"

Сообщение от denn (??) on 22-Фев-05, 18:01  (MSK)

фаирвол,
divert 8668 ip from any to any via
поставь на инфейс в мир

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "VPN не NAT-ится"

Сообщение от Simps (ok) on 22-Фев-05, 19:40  (MSK)

>Есть FreeBSD подключенная к VPN с помощью MPD
>есть необходимость открыть NAT для внутренней сети, чтобы они могли лазить в
>интернет.
>Сам сервер видет интернет, а вот внутренняя сетка не видет... как не
>крути :(
>Помогите пожалуста открыть NAT.
>
>в rc.conf
>внутреняя xl0 с ip 192.168.0.3 mask 255.255.255.0
>внешняя xl1 с ip 10.10.100.44 mask 255.255.255.0
>enable_gateway="YES"
>natd_enable="YES"
>natd_interface="ng0"
>natd_flags="-dynamic"
>
>в resolv.conf
>nameserver первый dns провайдера
>nameserver второй dns провайдера
>
>ipfw show
>00050   55   5815 divert 8668 ip from any
>to any via ng0
>00100    0      0 allow
>ip from any to any via lo0
>00200    0      0 deny
>ip from any to 127.0.0.0/8
>00300    0      0 deny
>ip from 127.0.0.0/8 to any
>65000 7911 919292 allow ip from any to any
>65535    0      0 deny
>ip from any to any
>
>****netstat -rn до соединения с VPN
>Routing tables
>Internet:
>Destination        Gateway
>        Flags
> Refs      Use  Netif Expire
>
>default
>10.10.100.1        UGS
>      0
>5114    xl1
>10.10.100/24       link#2
>        UC
>       0
>    0    xl1
>10.10.100.1        00:07:e9:09:88:0a  UHLW
>      1
>   0    xl1   1191
>
>127.0.0.1          127.0.0.1
>        UH
>       0
>    0    lo0
>192.168.0          link#1
>
>UC          0
>       0
>xl0
>192.168.0.1        4c:00:10:52:58:6b  UHLW
>      0
>1717    xl0    768
>
>****netstat -rn после соединения с VPN
>Internet:
>Destination        Gateway
>        Flags
> Refs      Use  Netif Expire
>
>default
>10.1.4.1
>UGS         0
>   5156    ng0
>10.1.4.1           10.1.6.49
>         UH
>        1
>     0    ng0
>10.1.6.49          lo0
>
>   UHS
> 0        0
>  lo0
>10.10.100/24       link#2
>        UC
>       0
>    0    xl1
>10.10.100.1        00:07:e9:09:88:0a  UHLW
>      1
>   0    xl1   1194
>
>127.0.0.1          127.0.0.1
>        UH
>       0
>    0    lo0
>192.168.0          link#1
>
>UC          0
>       0
>xl0
>192.168.0.1        4c:00:10:52:58:6b  UHLW
>      0
>1800    xl0   1182
>195.225.130.12     10.10.100.1
> UGHS        0
>     53    xl1

Добавить в файервол
ipfw add divert 8668 ip from any to 10.10.100.44 in recv xl1
ipfw add divert 8668 ip from 192.168.0.0/24 to any out xmit xl1

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "VPN не NAT-ится"

Сообщение от Ka3aK on 22-Фев-05, 21:15  (MSK)

>Добавить в файервол
>ipfw add divert 8668 ip from any to 10.10.100.44 in recv xl1
>ipfw add divert 8668 ip from 192.168.0.0/24 to any out xmit xl1
вообщем пробывал при таком виде (natd_interface="xl1")
00050  157   18089 divert 8668 ip from any to any via xl1
00100    0       0 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
65000 9097 1074610 allow ip from any to any
65535    0       0 deny ip from any to any
пробывал в таком виде (natd_interface="xl1")
00050  157   18089 divert 8668 ip from any to any via xl1
00060   22     100 divert ip from any to 10.10.100.44 in recv xl1
00070    0       0 divert ip from 192.168.0.0/24 to any out xmit xl1
00100    0       0 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
65000 9097 1074610 allow ip from any to any
65535    0       0 deny ip from any to any
пробывал в таком виде (natd_interface="xl1")
00050   22     100 divert ip from any to 10.10.100.44 in recv xl1
00060    0       0 divert ip from 192.168.0.0/24 to any out xmit xl1
00100    0       0 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
65000 9097 1074610 allow ip from any to any
65535    0       0 deny ip from any to any
пробывал в таком виде (natd_interface="ng0")
00050  157   18089 divert 8668 ip from any to any via ng0
00060   22     100 divert ip from any to 10.10.100.44 in recv xl1
00070    0       0 divert ip from 192.168.0.0/24 to any out xmit xl1
00100    0       0 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
65000 9097 1074610 allow ip from any to any
65535    0       0 deny ip from any to any
ни в каком виде трафик не пытается даже на ружу лезть походу....
все сыпется на правило 65000, только когда с консоли пингуешь, то на дайвертах цифорки ростут (так должно быть, я уже тут в трансе ничего не понимаю)....
СТРАННО даже при ipfw (natd_interface="xl1")
(только в таком виде растут цифры принятого и отосланного на правилах дайверта ->>>
00050  157   18089 divert 8668 ip from any to any via xl1
00100    0       0 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
65000 9097 1074610 allow ip from any to any
65535    0       0 deny ip from any to any
пинг на внешнюю сеть 10.10.100.любой, без VPN, не идет с внутренней,
но внешний интерфейс 10.10.100.44 пингуется.
БРЕД вообщем, че тут не то... блин и у кого не спроси, говорят вроде все верно, НО НЕ РАБОТАЕТ ВЕДЬ!

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "VPN не NAT-ится"

Сообщение от IZh (??) on 23-Фев-05, 08:55  (MSK)

1) NAT запускать нужно после mpd. В 5.1-5.2 у natd были пробдемы с динамичеси создаваемыми интерфейсами, что я прочуствовал на своей шкуре.
В 5.3 вроде всё нормально, но лучше перебдеть.
2) Правила для ipfw лучше выполнять с помощью up-script.
3) natd -dynamic -n ng0
divert 8668 ip from 192.168.0.0/24 to not 192.168.0.0/24 out xmit ng0
divert 8668 ip from not 192.168.0.0/24 to external_IP in recv ng0

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "VPN не NAT-ится"

Сообщение от Ka3aK on 24-Фев-05, 09:40  (MSK)

>1) NAT запускать нужно после mpd. В 5.1-5.2 у natd были пробдемы
>с динамичеси создаваемыми интерфейсами, что я прочуствовал на своей шкуре.
>В 5.3 вроде всё нормально, но лучше перебдеть.
>2) Правила для ipfw лучше выполнять с помощью up-script.
>3) natd -dynamic -n ng0
>divert 8668 ip from 192.168.0.0/24 to not 192.168.0.0/24 out xmit ng0
>divert 8668 ip from not 192.168.0.0/24 to external_IP in recv ng0

у меня FreeBSD 5.3
блин походу безнадежный случай тут....
вот думаю может 4.10 поставить и там попробывать настроить.
запросы на правила дайверта даже и не пытаются идти.
и пробывал нат загружать после загрузки OC и правила как только не писал.
с консоли пингуется, а с внешних компов вообще молчание, хоть что-нибудь было бы :(
и еще заметил, что с консоли зарубежные хосты пингуются плохо, тут где-то видел разговор на данную тему, но что проблему отдельных хостов решать, если NAT-а совсем нет?

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "VPN не NAT-ится"

Сообщение от Grayich (??) on 24-Фев-05, 10:45  (MSK)

>внутреняя xl0 с ip 192.168.0.3 mask 255.255.255.0
>внешняя xl1 с ip 10.10.100.44 mask 255.255.255.0
вот пример (рабочий), только ты не указал сети VPN поэтому должен указать правильную подсеть
******** /etc/rc.firewall
#!/bin/sh -
fwcmd="/sbin/ipfw"
${fwcmd} -f flush
my="192.168.0.3"
mynet="192.168.0.0/24"
vpnnet="192.168.100.0/24"    #<<<--- сюда нужно указать твою VPN сеть
ipinet="10.10.100.44"
#
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny ip from 127.0.0.0/8 to any
#
# запретить фрагментацию и некоторые icmp
${fwcmd} add deny all from any to ${my} frag
${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
#
# SSH
${fwcmd} add allow tcp from ${mynet} to ${mynet} ssh via xl0  # навсякий случай
${fwcmd} add allow tcp from ${mynet} ssh to ${mynet} via xl0
#
# разрешить GRE и pptp
${fwcmd} add allow 47 from ${mynet} to ${mynet} via xl0
${fwcmd} add allow tcp from ${mynet} to ${my} pptp via xl0
${fwcmd} add allow tcp from ${my} pptp to ${mynet} via xl0
#
# если DNS идет не через VPN, а через xl0 то раскоментировать
#${fwcmd} add allow udp from ${mynet} to ${my} 53 via xl0
#${fwcmd} add allow udp from ${my} 53 to ${mynet} via xl0
#
# Zavorot Na Squid  раскоментиравть если прозрачный сквид есть
#${fwcmd} add fwd 127.0.0.1,3128 tcp from ${mynet} to any 80,8000-8080 via xl1
#
# диверт на natd
${fwcmd} add divert 8668 ip from ${vpnnet} to any out xmit xl1
${fwcmd} add divert 8668 ip from any to ${ipinet}
#
${fwcmd} add allow ip from ${vpnnet} to any
${fwcmd} add allow ip from any to ${vpnnet}
#
${fwcmd} add allow all from ${ipinet} to any via xl1
${fwcmd} add allow all from any to ${ipinet} via xl1

должно завестись...

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "VPN не NAT-ится"

Сообщение от aliv (??) on 24-Фев-05, 11:24  (MSK)

А без mpd у тебя natится?

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "VPN не NAT-ится"

Сообщение от Ka3aK on 24-Фев-05, 14:56  (MSK)

>А без mpd у тебя natится?
Без mpd тоже походу ничего. я писал что внешний интерфейс пингуется у сервака, а любой адрес из сети 10.10.100.0 (внешней) нет. когда заначиваю внещний интерфейс xl1.
или я опять что-то недопонимаю, у меня уже от этого VPN голова не думает. :(
ну не ходит ничего на правила дайверта. :(

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "VPN не NAT-ится"

Сообщение от A Clockwork Orange on 24-Фев-05, 15:06  (MSK)

ipfw show
ps -ax

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "VPN не NAT-ится"

Сообщение от aliv (??) on 24-Фев-05, 15:10  (MSK)

И еще бы rc.conf полный.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "VPN не NAT-ится"

Сообщение от YuryD (ok) on 24-Фев-05, 16:18  (MSK)

>И еще бы rc.conf полный.
enable_gateway="YES"
Так ли должно ? вроде всегда было gateway_enable="YES"

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "VPN не NAT-ится"

Сообщение от Ka3aK on 24-Фев-05, 22:09  (MSK)

>>И еще бы rc.conf полный.
>
>enable_gateway="YES"
>
> Так ли должно ? вроде всегда было gateway_enable="YES"

ребят спасибо, извеняйте за то что проглядел :-/
действительно из-за столь глупой ошибки не мог разнатить этот vpn
еще раз спасибо что помогали

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "VPN не NAT-ится"

Сообщение от rakshas (ok) on 24-Фев-05, 22:04  (MSK)

И знаю кажется чем тебе помочь.
Поднимай нат не через rc.conf
А через rc.local.
Типа так
mpd -b
sleep 20
natd -n <интерфейс>
ipfw add 10 divert 8668 ip from any to any via ng0
У меня так работатить жалезна.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN не NAT-ится"
Сообщение от VPN_must_DIE on 22-Фев-05, 17:28 (MSK)
совсем никто не поможет :( хоть какую-нибудь идею выдвинул кто... я сам не знаю за что хвататься даже :(
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "VPN не NAT-ится"
Сообщение от denn (??) on 22-Фев-05, 18:01 (MSK)
фаирвол, divert 8668 ip from any to any via поставь на инфейс в мир
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "VPN не NAT-ится"
Сообщение от Simps (ok) on 22-Фев-05, 19:40 (MSK)
>Есть FreeBSD подключенная к VPN с помощью MPD >есть необходимость открыть NAT для внутренней сети, чтобы они могли лазить в >интернет. >Сам сервер видет интернет, а вот внутренняя сетка не видет... как не >крути :( >Помогите пожалуста открыть NAT. > >в rc.conf >внутреняя xl0 с ip 192.168.0.3 mask 255.255.255.0 >внешняя xl1 с ip 10.10.100.44 mask 255.255.255.0 >enable_gateway="YES" >natd_enable="YES" >natd_interface="ng0" >natd_flags="-dynamic" > >в resolv.conf >nameserver первый dns провайдера >nameserver второй dns провайдера > >ipfw show >00050 55 5815 divert 8668 ip from any >to any via ng0 >00100 0 0 allow >ip from any to any via lo0 >00200 0 0 deny >ip from any to 127.0.0.0/8 >00300 0 0 deny >ip from 127.0.0.0/8 to any >65000 7911 919292 allow ip from any to any >65535 0 0 deny >ip from any to any > >**netstat -rn до соединения с VPN >Routing tables >Internet: >Destination Gateway > Flags > Refs Use Netif Expire > >default >10.10.100.1 UGS > 0 >5114 xl1 >10.10.100/24 link#2 > UC > 0 > 0 xl1 >10.10.100.1 00:07:e9:09:88:0a UHLW > 1 > 0 xl1 1191 > >127.0.0.1 127.0.0.1 > UH > 0 > 0 lo0 >192.168.0 link#1 > >UC 0 > 0 >xl0 >192.168.0.1 4c:00:10:52:58:6b UHLW > 0 >1717 xl0 768 > >**netstat -rn после соединения с VPN >Internet: >Destination Gateway > Flags > Refs Use Netif Expire > >default >10.1.4.1 >UGS 0 > 5156 ng0 >10.1.4.1 10.1.6.49 > UH > 1 > 0 ng0 >10.1.6.49 lo0 > > UHS > 0 0 > lo0 >10.10.100/24 link#2 > UC > 0 > 0 xl1 >10.10.100.1 00:07:e9:09:88:0a UHLW > 1 > 0 xl1 1194 > >127.0.0.1 127.0.0.1 > UH > 0 > 0 lo0 >192.168.0 link#1 > >UC 0 > 0 >xl0 >192.168.0.1 4c:00:10:52:58:6b UHLW > 0 >1800 xl0 1182 >195.225.130.12 10.10.100.1 > UGHS 0 > 53 xl1 Добавить в файервол ipfw add divert 8668 ip from any to 10.10.100.44 in recv xl1 ipfw add divert 8668 ip from 192.168.0.0/24 to any out xmit xl1
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "VPN не NAT-ится"
	Сообщение от Ka3aK on 22-Фев-05, 21:15 (MSK)
	>Добавить в файервол >ipfw add divert 8668 ip from any to 10.10.100.44 in recv xl1 >ipfw add divert 8668 ip from 192.168.0.0/24 to any out xmit xl1 вообщем пробывал при таком виде (natd_interface="xl1") 00050 157 18089 divert 8668 ip from any to any via xl1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 9097 1074610 allow ip from any to any 65535 0 0 deny ip from any to any пробывал в таком виде (natd_interface="xl1") 00050 157 18089 divert 8668 ip from any to any via xl1 00060 22 100 divert ip from any to 10.10.100.44 in recv xl1 00070 0 0 divert ip from 192.168.0.0/24 to any out xmit xl1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 9097 1074610 allow ip from any to any 65535 0 0 deny ip from any to any пробывал в таком виде (natd_interface="xl1") 00050 22 100 divert ip from any to 10.10.100.44 in recv xl1 00060 0 0 divert ip from 192.168.0.0/24 to any out xmit xl1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 9097 1074610 allow ip from any to any 65535 0 0 deny ip from any to any пробывал в таком виде (natd_interface="ng0") 00050 157 18089 divert 8668 ip from any to any via ng0 00060 22 100 divert ip from any to 10.10.100.44 in recv xl1 00070 0 0 divert ip from 192.168.0.0/24 to any out xmit xl1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 9097 1074610 allow ip from any to any 65535 0 0 deny ip from any to any ни в каком виде трафик не пытается даже на ружу лезть походу.... все сыпется на правило 65000, только когда с консоли пингуешь, то на дайвертах цифорки ростут (так должно быть, я уже тут в трансе ничего не понимаю).... СТРАННО даже при ipfw (natd_interface="xl1") (только в таком виде растут цифры принятого и отосланного на правилах дайверта ->>> 00050 157 18089 divert 8668 ip from any to any via xl1 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 65000 9097 1074610 allow ip from any to any 65535 0 0 deny ip from any to any пинг на внешнюю сеть 10.10.100.любой, без VPN, не идет с внутренней, но внешний интерфейс 10.10.100.44 пингуется. БРЕД вообщем, че тут не то... блин и у кого не спроси, говорят вроде все верно, НО НЕ РАБОТАЕТ ВЕДЬ!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "VPN не NAT-ится"
	Сообщение от IZh (??) on 23-Фев-05, 08:55 (MSK)
	1) NAT запускать нужно после mpd. В 5.1-5.2 у natd были пробдемы с динамичеси создаваемыми интерфейсами, что я прочуствовал на своей шкуре. В 5.3 вроде всё нормально, но лучше перебдеть. 2) Правила для ipfw лучше выполнять с помощью up-script. 3) natd -dynamic -n ng0 divert 8668 ip from 192.168.0.0/24 to not 192.168.0.0/24 out xmit ng0 divert 8668 ip from not 192.168.0.0/24 to external_IP in recv ng0
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "VPN не NAT-ится"
	Сообщение от Ka3aK on 24-Фев-05, 09:40 (MSK)
	>1) NAT запускать нужно после mpd. В 5.1-5.2 у natd были пробдемы >с динамичеси создаваемыми интерфейсами, что я прочуствовал на своей шкуре. >В 5.3 вроде всё нормально, но лучше перебдеть. >2) Правила для ipfw лучше выполнять с помощью up-script. >3) natd -dynamic -n ng0 >divert 8668 ip from 192.168.0.0/24 to not 192.168.0.0/24 out xmit ng0 >divert 8668 ip from not 192.168.0.0/24 to external_IP in recv ng0 у меня FreeBSD 5.3 блин походу безнадежный случай тут.... вот думаю может 4.10 поставить и там попробывать настроить. запросы на правила дайверта даже и не пытаются идти. и пробывал нат загружать после загрузки OC и правила как только не писал. с консоли пингуется, а с внешних компов вообще молчание, хоть что-нибудь было бы :( и еще заметил, что с консоли зарубежные хосты пингуются плохо, тут где-то видел разговор на данную тему, но что проблему отдельных хостов решать, если NAT-а совсем нет?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

7. "VPN не NAT-ится"
Сообщение от Grayich (??) on 24-Фев-05, 10:45 (MSK)
>внутреняя xl0 с ip 192.168.0.3 mask 255.255.255.0 >внешняя xl1 с ip 10.10.100.44 mask 255.255.255.0 вот пример (рабочий), только ты не указал сети VPN поэтому должен указать правильную подсеть ******** /etc/rc.firewall #!/bin/sh - fwcmd="/sbin/ipfw" ${fwcmd} -f flush my="192.168.0.3" mynet="192.168.0.0/24" vpnnet="192.168.100.0/24" #<<<--- сюда нужно указать твою VPN сеть ipinet="10.10.100.44" # ${fwcmd} add allow all from any to any via lo0 ${fwcmd} add deny all from any to 127.0.0.0/8 ${fwcmd} add deny ip from 127.0.0.0/8 to any # # запретить фрагментацию и некоторые icmp ${fwcmd} add deny all from any to ${my} frag ${fwcmd} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17 # # SSH ${fwcmd} add allow tcp from ${mynet} to ${mynet} ssh via xl0 # навсякий случай ${fwcmd} add allow tcp from ${mynet} ssh to ${mynet} via xl0 # # разрешить GRE и pptp ${fwcmd} add allow 47 from ${mynet} to ${mynet} via xl0 ${fwcmd} add allow tcp from ${mynet} to ${my} pptp via xl0 ${fwcmd} add allow tcp from ${my} pptp to ${mynet} via xl0 # # если DNS идет не через VPN, а через xl0 то раскоментировать #${fwcmd} add allow udp from ${mynet} to ${my} 53 via xl0 #${fwcmd} add allow udp from ${my} 53 to ${mynet} via xl0 # # Zavorot Na Squid раскоментиравть если прозрачный сквид есть #${fwcmd} add fwd 127.0.0.1,3128 tcp from ${mynet} to any 80,8000-8080 via xl1 # # диверт на natd ${fwcmd} add divert 8668 ip from ${vpnnet} to any out xmit xl1 ${fwcmd} add divert 8668 ip from any to ${ipinet} # ${fwcmd} add allow ip from ${vpnnet} to any ${fwcmd} add allow ip from any to ${vpnnet} # ${fwcmd} add allow all from ${ipinet} to any via xl1 ${fwcmd} add allow all from any to ${ipinet} via xl1 должно завестись...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "VPN не NAT-ится"
	Сообщение от aliv (??) on 24-Фев-05, 11:24 (MSK)
	А без mpd у тебя natится?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "VPN не NAT-ится"
	Сообщение от Ka3aK on 24-Фев-05, 14:56 (MSK)
	>А без mpd у тебя natится? Без mpd тоже походу ничего. я писал что внешний интерфейс пингуется у сервака, а любой адрес из сети 10.10.100.0 (внешней) нет. когда заначиваю внещний интерфейс xl1. или я опять что-то недопонимаю, у меня уже от этого VPN голова не думает. :( ну не ходит ничего на правила дайверта. :(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "VPN не NAT-ится"
	Сообщение от A Clockwork Orange on 24-Фев-05, 15:06 (MSK)
	ipfw show ps -ax
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "VPN не NAT-ится"
	Сообщение от aliv (??) on 24-Фев-05, 15:10 (MSK)
	И еще бы rc.conf полный.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "VPN не NAT-ится"
	Сообщение от YuryD (ok) on 24-Фев-05, 16:18 (MSK)
	>И еще бы rc.conf полный. enable_gateway="YES" Так ли должно ? вроде всегда было gateway_enable="YES"
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "VPN не NAT-ится"
	Сообщение от Ka3aK on 24-Фев-05, 22:09 (MSK)
	>>И еще бы rc.conf полный. > >enable_gateway="YES" > > Так ли должно ? вроде всегда было gateway_enable="YES" ребят спасибо, извеняйте за то что проглядел :-/ действительно из-за столь глупой ошибки не мог разнатить этот vpn еще раз спасибо что помогали
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

13. "VPN не NAT-ится"
Сообщение от rakshas (ok) on 24-Фев-05, 22:04 (MSK)
И знаю кажется чем тебе помочь. Поднимай нат не через rc.conf А через rc.local. Типа так mpd -b sleep 20 natd -n <интерфейс> ipfw add 10 divert 8668 ip from any to any via ng0 У меня так работатить жалезна.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх