pf и VPN во FreeBSD

[Kucher2]

Всем привет.

Ну, я опять нашёл приключения на свою голову.

Перешёл на pf. Вернее, у меня и ipfw стоит, но с помощью pf я натю сетку за шлюзом, а ipfw рулит разрешениями и pipe.

Проц это дело разгрузило очень существенно. Правда я ещё и двухядерник воткнул...

 

Проблем такова, что мне нужно коннектиться по VPN на сервер в миру.

Как вам всем наверное известно - с этим у pf есть определённые сложности.

 

В гугле нарыл, что это прердлагается очень просто решить с помощью того же natd, потому что все остальные решения очень уж геморны и не всегда работают (так утверждал автор одной из статей).

Да, я тоже посмеялся и начал рыть дальше.

 

Надыбал /usr/ports/net/frickin. Поставил, настраивал манам и по статьям (в мане кстати не упоминается про одно правило в pf) - ну не хочет она работать и всё.

Нашёл ещё это: http://www.mgix.com/pptpproxy/. Но увы, у меня FreeBSD.

Пробовал из сырцов собрать - вываливается с ошибкой, хотя запускал как сказано в мане и Perl у меня установлен.

 

У кого-то есть идеи или практические решения?

[adeep]

перейти на ipfw-nat?

и забыть pf как cтрашный сон

[Queeq]

Не знаю про PPTP, но у меня L2TP, защищённый IPSec (без AH) в транспортном режиме, работает через PF нормально.

 

Почему PPTP?

[911]

перейти на ipfw-nat?

и забыть pf как cтрашный сон

pf-оненавистник )))))))

а вообще +1

[prototip]

А я вообще не понимаю этих движений , ну мудрые мужи анука разрулите мне премущества pf/ipfw , только давайте без голых криков , конкретные описалово и сравнения по загрузке итд.итп. Блин сегодня пиво однако хорошее .... Я вообще за пляжи "без купальников" . Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того ....

[Kucher2]

Я никогда себя программером не считал, я больше техник.

С natd у меня честно не получилось пробросить порт - заморочка с интерфейсами + сам nat, было действительно проще использовать приблуду вроде rinetd.

Потом были ещё некоторые трудности с нагрузкой на систему.

Сейчас уже не могу точно сказать - то ли сетевая грешила, то ли материнка, то ли проц слабый, то ли 512МБ маловато. А может и natd настолько грузил проц - не знаю.

Но я точно видел процесс natd по top'у, который показывал в выходные дни до 60% загрузки проца. И в это время начинались "отвалы" Инета. Это факт.

 

ПОскольку за две недели меня это сильно достало - я сделал всё сразу: сменил железо и ушёл от natd.

Сейчас стоит не такой уж мощный двухядерник, 1,5ГГБ оперативки. Проблема ушла, не знаю в чём она состояла точно, но её нет.

 

Да, я могу сейчас "погасить" pf, вернуть правила НАТА и редиректа. Только начёрта мне сдались эти эксперименты на работающей системе?

 

Повторяю, нужен совет тех, кто разрулил ситуацию именно на pf.

[adeep]

различайте natd, который работает в userland и ipfw-nat, который работает в режиме ядра.

[Queeq]

перейти на ipfw-nat?

и забыть pf как cтрашный сон

pf-оненавистник )))))))

а вообще +1

 

Да вообще хороша парочка

[Queeq]

Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того ....

Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как?

[adeep]

Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как?

это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают.

[Queeq]

 

это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают.

 

Да, похоже на то. Мегакулхацкер

[Kucher2]

Я вам под пиво ещё не то расскажу.

Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки.

[Queeq]

Я вам под пиво ещё не то расскажу.

Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки.

 

Так а почему PPTP? Чем не подходит L2TP?

[Cell]

я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант:

rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723
rdr on fxp0 proto gre from any to any  -> 10.16.1.1

 

где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом)

10.16.1.1 им входного интерфейса (локалка)

в файрволе что-то типа такого:

 

02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723

 

У меня через эту хрень даже довольно весело интернетить получается.

[Kucher2]

Так а почему PPTP? Чем не подходит L2TP?

Не знаю о другом способе. На целевом сервере настроен шлюз VPN, моя задача к нему законнектиться. То же самое делает ещё с десяток машин.

Я на них перекидываю инфу и "Радминю".

 

Cell

Спасибо, попробую когда будет время.

[Kucher2]

я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант:

rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723
rdr on fxp0 proto gre from any to any  -> 10.16.1.1

 

где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом)

10.16.1.1 им входного интерфейса (локалка)

в файрволе что-то типа такого:

 

02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723

 

У меня через эту хрень даже довольно весело интернетить получается.

 

Спасибо, помогло. Однако хотелось бы, чтобы сие работало для более чем одной машины в сети.

Если сделать что-то вроде -> 10.0.0.0/24 - будет ли такое работать с несколькими машинами одновременно?

[Cell]

Нет, то что вы предлагаете чуток не то ), если приведенная схема для нескольких не работает то надо гуглить