 FreeBSD 10.2 + pf + VPN (GRE),  kuksha12, 13-Дек-15, 09:31 [смотреть все]Здравствуйте.
Есть серая сетка с NAT и шлюз на FreeBSD 10.2. Надо настроить доступ из неё наружу, к внешним сетям VPN (PPTP), более чем одному пользователю одновременно.
То, есть нужно пробросить протокол GRE и TCP/1723.
Раньше делал это на IPFW, но на новом шлюзе уговорили поставить PF - типа он гибче. Вышел облом...Оказывается этот хвалёный PF не дружит с GRE и с ещё некоторыми вещами - надо прикручивать сбоку костыль в виде IPFW с каким-то скриптом. Выглядит это гадко... Знал бы заранее - поставил бы IPFW и не парился.
Но, все эти заметки старые, им уже несколько лет - может быть PF уже доработали и я топчусь на ровном месте и просто не разобрался? Как в итоге пробросить VPN малой кровью?
(PPTP и L2TP до кучи)
|
- FreeBSD 10.2 + pf + VPN (GRE), eRIC, 10:51 , 13-Дек-15 (1)
- FreeBSD 10.2 + pf + VPN (GRE), kuksha12, 16:51 , 13-Дек-15 (4)
Видел, но по-моему там нет решения... если не углядел - поправьте.
- FreeBSD 10.2 + pf + VPN (GRE), eRIC, 16:59 , 13-Дек-15 (5)
- FreeBSD 10.2 + pf + VPN (GRE), kuksha12, 22:46 , 13-Дек-15 (6)
Правила на работе. По памяти что-то вроде этого:
pass quick on $ext_if inet proto tcp from any to any port 1723
pass quick on $ext_if inet proto tcp from any port 1723 to any
pass quick on $ext_if inet proto gre from any to anyНаписал ЭТО только для того, чтобы показать, что ни редиректов, ни таблиц, ни других заморочек не применял - только открыл 1723 и разрешил GRE напрополую. Всё. Завтра скину то, что на самом деле, но особой разницы там не будет. Пока не скинул, коротко - можно VPN c GRE через PF пробросить или нет? Спрашиваю потому, что везде писали, что если и можно, то не более одного соединения одновременно.
- FreeBSD 10.2 + pf + VPN (GRE), ALex_hha, 13:41 , 13-Дек-15 (2)
- FreeBSD 10.2 + pf + VPN (GRE), kuksha12, 16:47 , 13-Дек-15 (3)
> а что мешает обратно поставить ipfw?Пожалуйста, не надо уводить в сторону :)
Я спросил про PF.
- FreeBSD 10.2 + pf + VPN (GRE), daekiy, 23:00 , 13-Дек-15 (7)
- FreeBSD 10.2 + pf + VPN (GRE), kuksha12, 23:06 , 13-Дек-15 (8)
видел, я про эту статью и писал, что выглядит жутко - костыль...
- FreeBSD 10.2 + pf + VPN (GRE), tootsie, 13:38 , 14-Дек-15 (10)
- FreeBSD 10.2 + pf + VPN (GRE), kuksha12, 18:42 , 14-Дек-15 (12)
Я спрашивал про доступ к внешним VPN-сетям из локалки наружу. Свой VPN мне ни заводить ни прокидывать не надо.
- FreeBSD 10.2 + pf + VPN (GRE), tootsie, 08:33 , 15-Дек-15 (14)
- FreeBSD 10.2 + pf + VPN (GRE), kuksha12, 10:40 , 15-Дек-15 (15)
Теоретически пропускает, но грабли с одним из видов VPN - с PPTP, а точнее с протоколом GRE, который в нём используется. Ещё точнее - проблемы с NAT для GRE, насколько я понял. Приляпывать IPFW сбоку - ни за что.
Для себя тему PF я закрыл - он только для поиграться.
- FreeBSD 10.2 + pf + VPN (GRE), urgordeadbeef, 18:55 , 14-Дек-15 (13)
- FreeBSD 10.2 + pf + VPN (GRE), Аноним, 18:33 , 16-Дек-15 (16)
|
Версия для распечатки
