URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32101
[ Назад ]

Исходное сообщение
"Вопрос на счёт divert в ipfw"
Отправлено Bopros , 11-Июл-03 00:27

В FreeBSD 4.7, у меня ифейс ng3 подключен в инет(vpn коннект к серверу 10.0.0.254, лок ип 10.0.0.233, при подключении выдаётся ип 172.16.1.18), адреса пингуются. На ng0-ng2 цепляются на VPN сервер клиенты(где им выдаются ипы 172.16.5.0/24).
в файрвол прописано:
/sbin/ipfw add divert natd all from 172.16.5.0/24 to any via ng3
/sbin/ipfw add divert natd all from any to 10.0.0.233
Pinging ип_в_интернете with 32 bytes of data:
Reply from 10.0.0.254: Destination port unreachable.
Reply from 10.0.0.254: Destination port unreachable.
Reply from 10.0.0.254: Destination port unreachable.
Reply from 10.0.0.254: Destination port unreachable.
Reply from 10.0.0.254: Destination port unreachable.
Reply from 10.0.0.254: Destination port unreachable.
В чём проблема?? помогите пожалуйста.

Содержание

Вопрос на счёт divert в ipfw,A Clockwork Orange, 09:18 , 11-Июл-03
- Вопрос на счёт divert в ipfw,A Clockwork Orange, 09:28 , 11-Июл-03
  - Вопрос на счёт divert в ipfw,Bopros, 10:29 , 11-Июл-03
    - Вопрос на счёт divert в ipfw,A Clockwork Orange, 12:10 , 11-Июл-03
      - Вопрос на счёт divert в ipfw,Bopros, 12:56 , 11-Июл-03
Вопрос на счёт divert в ipfw,Bopros, 13:03 , 12-Июл-03

Сообщения в этом обсуждении

"Вопрос на счёт divert в ipfw"
Отправлено A Clockwork Orange , 11-Июл-03 09:18

Ничего не понятно
По мне интерфейс ng вообще н не смотрит не куда. Он создается в момент коннекта и смотрит только к клиенту.
Делать на нем диверт может быть и можно но как то странно.
У тебя опорная сеть 10.0.0.0 (сервер 10.0.0.254, клиент 10.0.0.233)
VPN 172.16... (сервер 172.16.1.18, клиенты 172.16.5.0.24)
Так?
И куда откуда ты хочешь попасть что у тебя не пигуется?
Это вообще не понятно
/sbin/ipfw add divert natd all from 172.16.5.0/24 to any via ng3
/sbin/ipfw add divert natd all from any to 10.0.0.233

Может так
/sbin/ipfw add divert natd all from 172.16.... to 10.0.0.233 out via XXX
/sbin/ipfw add divert natd all from 10.0.0.233 to 10.0.0.254 in via XXX
где XXX интерфейс имеющий адрес 10.0.0.254
Или
/sbin/ipfw add divert natd all from any to any via XXX
Ну и правила фаервола надо смотреть

"Вопрос на счёт divert в ipfw"
Отправлено A Clockwork Orange , 11-Июл-03 09:28

или у тебя машина с двумя интерфейсами скажем XXX в сторону интернета, УУУ в сторону локальной сети.
в сторону интернета опорная сеть 10.0.0.0 по VPN (172.16...).
клиенты локальной сети со стороны УУУ должны через эту машину по VPN выходить в инет?
Так?

"Вопрос на счёт divert в ipfw"
Отправлено Bopros , 11-Июл-03 10:29

>или у тебя машина с двумя интерфейсами скажем XXX в сторону интернета,
>УУУ в сторону локальной сети.
>
>в сторону интернета опорная сеть 10.0.0.0 по VPN (172.16...).
>клиенты локальной сети со стороны УУУ должны через эту машину по VPN
>выходить в инет?
>Так?

да, через mpd подключаюсь на впн сервак, (со стороны сети 10.0.0.0) на ифейсе ng3 и в инете оказываюсь. Надо чтобы клиенты со стороны сети 10.0.1.0 были тоже в инете. Они подключаются на 10.0.1.233(второй ип сетевушки)на впн сервер. Как прописать правила чтобы они были в инете?

"Вопрос на счёт divert в ipfw"
Отправлено A Clockwork Orange , 11-Июл-03 12:10

>>или у тебя машина с двумя интерфейсами скажем XXX в сторону интернета,
>>УУУ в сторону локальной сети.
>>
>>в сторону интернета опорная сеть 10.0.0.0 по VPN (172.16...).
>>клиенты локальной сети со стороны УУУ должны через эту машину по VPN
>>выходить в инет?
>>Так?
>
>
>да, через mpd подключаюсь на впн сервак, (со стороны сети 10.0.0.0) на
>ифейсе ng3 и в инете оказываюсь. Надо чтобы клиенты со стороны
>сети 10.0.1.0 были тоже в инете. Они подключаются на 10.0.1.233(второй ип
>сетевушки)на впн сервер. Как прописать правила чтобы они были в инете?
>

пробовал форвардить все пакеты из внутренней сети 10.0.1.0 в тунель
или прописать гейт на машине-клиенте VPN адрес тунеля стороны серверя 172.16.... что бы все пакеты он посылал в тунель

"Вопрос на счёт divert в ipfw"
Отправлено Bopros , 11-Июл-03 12:56

у тебя есть icq? моя 127662146, так бы поговорить, просто я уже не знаю чего делать, столько перепробовал, а не работает.

"Вопрос на счёт divert в ipfw"
Отправлено Bopros , 12-Июл-03 13:03

>В FreeBSD 4.7, у меня ифейс ng3 подключен в инет(vpn коннект к
>серверу 10.0.0.254, лок ип 10.0.0.233, при подключении выдаётся ип 172.16.1.18), адреса
>пингуются. На ng0-ng2 цепляются на VPN сервер клиенты(где им выдаются ипы
>172.16.5.0/24).
>в файрвол прописано:
>
>/sbin/ipfw add divert natd all from 172.16.5.0/24 to any via ng3
>/sbin/ipfw add divert natd all from any to 10.0.0.233
>
>Pinging ип_в_интернете with 32 bytes of data:
>
>Reply from 10.0.0.254: Destination port unreachable.
>Reply from 10.0.0.254: Destination port unreachable.
>Reply from 10.0.0.254: Destination port unreachable.
>Reply from 10.0.0.254: Destination port unreachable.
>Reply from 10.0.0.254: Destination port unreachable.
>Reply from 10.0.0.254: Destination port unreachable.
>
>В чём проблема?? помогите пожалуйста.

ну что в файрволе прописать? неужели никто не сталкивался с этим?