Такая ситуация:Нужно чтоб мобильные клиенты с динамическими IP имели доступ в локальную сеть, которая находится за ipfw+nat (Free)
Поднял mpd
Настроил ipfw: разрешил "any to any 1723", не нашёл правда как разрешить GPE, прописал как на "opennet" где то вычитал "pass gpe from any to any" (что то мне говорит что не работает эта мулька), начал копать и обнаружил что VPN от MPD не может пройти NAT чтоб увидеть локалку, посоветуйте чем это решается, искал доки но никакой конкретики, ниразу не услышал людей которые это реализовали.Большое спасибо.
Да ладно...
Все замечательно работает... оно собственно для того и есть
С gre все правильно.
ipfw add allow gre from any to anyipfw show
>Да ладно...
>Все замечательно работает... оно собственно для того и есть
>С gre все правильно.
>ipfw add allow gre from any to any
>
>ipfw showallow tcp from any to any 1723
allow tcp from any 1723 to anyэто есть
а про GPE ни слова нету!!!!
ну и соответственно запись в логах ipfw
Deny P:47 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy out via xl0
Deny P:47 yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy in via xl0
ipfw showallow tcp from any to any 1723
allow tcp from any 1723 to anyэто есть
а про GPE ни слова нету!!!!
ну и соответственно запись в логах ipfwDeny P:47 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy out via xl0
Deny P:47 yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx in via xl0
>ipfw show
>
>allow tcp from any to any 1723
>allow tcp from any 1723 to any
здесь ты разрешаешь работу по порту 1723
а тебе надо разрешить работу протокола P:47 пишем
1. ${ipfw} add allow gre from ${Internet} to IP_inet via you_int
IP_inet - адрес интерфейса смотрящего в инет
gre = 47
2. Разрешить прохождение пакетов с адреса выдаваемого клиенту в твою сеть>
>это есть
>
>а про GPE ни слова нету!!!!
>ну и соответственно запись в логах ipfw
>
>Deny P:47 xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy out via xl0
>Deny P:47 yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx in via xl0
Выдержка из DOC на MPD:Mpd will create new interfaces which may need to be incorporated into your firewall rules.
Т.е. нужно разрешить в IPFW прохождение через интерфейсы, созданные MPD.
>Выдержка из DOC на MPD:
>
>Mpd will create new interfaces which may need to be incorporated into
>your firewall rules.
>
>Т.е. нужно разрешить в IPFW прохождение через интерфейсы, созданные MPD.я сделал правило в котором содержиться "pass gpe from any to any" то есть всем
>>Выдержка из DOC на MPD:
>>
>>Mpd will create new interfaces which may need to be incorporated into
>>your firewall rules.
>>
>>Т.е. нужно разрешить в IPFW прохождение через интерфейсы, созданные MPD.
>
>я сделал правило в котором содержиться "pass gpe from any to any"
>то есть всемifconfig
ipfw sh
mpd.conf покажи
ifconfig:
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=3<rxcsum,txcsum>
inet xx.xx.xx.xx netmask 0xfffffffc broadcast xx.xx.xx.xx
ether :::::
media: Ethernet autoselect (10baseT/UTP)
status: active
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.32 netmask 0xffffff00 broadcast 192.168.0.255
ether :::::ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng1: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng2: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng3: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng4: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng5: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng6: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng7: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng8: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng9: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng10: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng11: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng12: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng13: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng14: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng15: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng16: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng17: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng18: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng19: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng20: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng21: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng22: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng23: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng24: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng25: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng26: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng27: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
ipfw sh
# for VPN
fwcmd pass gpe from any to any
fwcmd pass tcp from any to any 1723
fwcmd pass tcp from any 1723 to any
mpd.conf:
default:
load pptp0
.....
load pptp27pptp0:
new -i ng00 pptp0 pptp0
set ipcp ranges 192.168.1.1/32 192.168.2.1/32
load pptp_standart
......
pptp27:
new -i ng27 pptp27 pptp27
set ipcp ranges 192.168.1.1/32 192.168.2.28/32
load pptp_standartpptp_standart:
set iface disable on-demand
set bundle disable multilink
# set bundle authname MyLogin
set iface idle 1800
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns zz.zz.zz.zz
#set ipcp nbns 10.1.1.1
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e56
set ccp yes mpp-e128
set ccp yes mpp-stateless
#set bundle yes crypt-reqd
set pptp self (смотрит наружу)
set pptp enable incoming
set pptp disable originate
set iface mtu 1500
set link mtu 1500
#set iface up-script /usr/local/traff/up.pl
#set iface down-script /usr/local/traff/down.pl
ipfw add from any to any via ng\*
fwcmd pass gre ( я надеюсь что gpe это ошибка?) from any to any
ipfw add all from any to any via ng\*
ЭТИ ПРАВИЛА ИДУТ ДО NAT
>fwcmd pass gre ( я надеюсь что gpe это ошибка?) from any
>to any
>ipfw add all from any to any via ng\*
>ЭТИ ПРАВИЛА ИДУТ ДО NATсчас попробую спасибо
>>fwcmd pass gre ( я надеюсь что gpe это ошибка?) from any
>>to any
>>ipfw add all from any to any via ng\*
>>ЭТИ ПРАВИЛА ИДУТ ДО NATправило отработало, большое спасибо...
не подскажите как теперь локалку посмотреть
А почему до нат?
Вопрос не понял:: что значит локалку посмотреть?
>Вопрос не понял:: что значит локалку посмотреть?
мне нужно увидеть локальную сеть вернее только одну машину из неё
>Да ладно...
>Все замечательно работает... оно собственно для того и есть
>С gre все правильно.
>ipfw add allow gre from any to any
>
>ipfw show
В крупную компанию требуется администратор по безопасности Free-BSD
Требования: Муж. 25-35 лет, в/о (технич.). Отличное знание Free-BSD обязательно (опыт работы с Free-BSD от 2 лет). Знание и опыт работы с MYSQL, PHP, APACHE, POSTFIX, SQUID и т.д. Знание TCP/IP, HTTP, SMTP. Опыт проведения аудита безопасности интернет-приложений на PHP. Опыт обеспечения безопасности хостинга на freebsd. Желательно знание Cisco.
Обязанности: Аудит машин FreeBSD ~15-20 штук, выработка требований и решений по
безопасности в инете (cisco, freebsd, mail, www, php и т.д.).
Условия: СЗАО, з/п - 1200$ + соцпакет.
В каком городе?
На Москву похоже
<мне нужно увидеть локальную сеть вернее только одну машину из неё
в explorer \\name_pc
а вообще, ты должен сетевое окружение видеть, ведь у тебя опция
set iface enable proxy-arp указана
у тебя wins или что там есть?