Перейти до

pf и VPN во FreeBSD


Рекомендованные сообщения

Всем привет.

Ну, я опять нашёл приключения на свою голову. :huh:

Перешёл на pf. Вернее, у меня и ipfw стоит, но с помощью pf я натю сетку за шлюзом, а ipfw рулит разрешениями и pipe.

Проц это дело разгрузило очень существенно. Правда я ещё и двухядерник воткнул... :D

 

Проблем такова, что мне нужно коннектиться по VPN на сервер в миру.

Как вам всем наверное известно - с этим у pf есть определённые сложности.

 

В гугле нарыл, что это прердлагается очень просто решить с помощью того же natd, потому что все остальные решения очень уж геморны и не всегда работают (так утверждал автор одной из статей).

Да, я тоже посмеялся и начал рыть дальше. :blink:

 

Надыбал /usr/ports/net/frickin. Поставил, настраивал манам и по статьям (в мане кстати не упоминается про одно правило в pf) - ну не хочет она работать и всё.

Нашёл ещё это: http://www.mgix.com/pptpproxy/. Но увы, у меня FreeBSD.

Пробовал из сырцов собрать - вываливается с ошибкой, хотя запускал как сказано в мане и Perl у меня установлен.

 

У кого-то есть идеи или практические решения?

Ссылка на сообщение
Поделиться на других сайтах

А я вообще не понимаю этих движений , ну мудрые мужи анука разрулите мне премущества pf/ipfw , только давайте без голых криков , конкретные описалово и сравнения по загрузке итд.итп. Блин сегодня пиво однако хорошее .... Я вообще за пляжи "без купальников" . Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того ....

Ссылка на сообщение
Поделиться на других сайтах

Я никогда себя программером не считал, я больше техник.

С natd у меня честно не получилось пробросить порт - заморочка с интерфейсами + сам nat, было действительно проще использовать приблуду вроде rinetd.

Потом были ещё некоторые трудности с нагрузкой на систему.

Сейчас уже не могу точно сказать - то ли сетевая грешила, то ли материнка, то ли проц слабый, то ли 512МБ маловато. А может и natd настолько грузил проц - не знаю.

Но я точно видел процесс natd по top'у, который показывал в выходные дни до 60% загрузки проца. И в это время начинались "отвалы" Инета. Это факт.

 

ПОскольку за две недели меня это сильно достало - я сделал всё сразу: сменил железо и ушёл от natd.

Сейчас стоит не такой уж мощный двухядерник, 1,5ГГБ оперативки. Проблема ушла, не знаю в чём она состояла точно, но её нет.

 

Да, я могу сейчас "погасить" pf, вернуть правила НАТА и редиректа. Только начёрта мне сдались эти эксперименты на работающей системе?

 

Повторяю, нужен совет тех, кто разрулил ситуацию именно на pf.

Ссылка на сообщение
Поделиться на других сайтах

Честно скажу , глядя на оные фаеры локальщиков просто диву даюсь , может кому че сломать ? Жалко однако доходяг .... Товарисчи однако провода тянуть умеють , но не более того ....

Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как?

Ссылка на сообщение
Поделиться на других сайтах

Я немного не понял, к чему этот выпад? PF и IPFW - это дыры в системе, или как?

это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают.

Ссылка на сообщение
Поделиться на других сайтах

 

это на тему: вы все лохи, а я круче всех, но как у меня настроено - никому не расскажу, а то поломают.

 

Да, похоже на то. Мегакулхацкер :)

Ссылка на сообщение
Поделиться на других сайтах

:) Я вам под пиво ещё не то расскажу.

Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки.

Ссылка на сообщение
Поделиться на других сайтах

:) Я вам под пиво ещё не то расскажу.

Вы лучше поведайте решение проблемы, кроме перехода на альтернативные стенки.

 

Так а почему PPTP? Чем не подходит L2TP?

Ссылка на сообщение
Поделиться на других сайтах

я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант:

rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723
rdr on fxp0 proto gre from any to any  -> 10.16.1.1

 

где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом)

10.16.1.1 им входного интерфейса (локалка)

в файрволе что-то типа такого:

 

02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723

 

У меня через эту хрень даже довольно весело интернетить получается.

Ссылка на сообщение
Поделиться на других сайтах

Так а почему PPTP? Чем не подходит L2TP?

Не знаю о другом способе. На целевом сервере настроен шлюз VPN, моя задача к нему законнектиться. То же самое делает ещё с десяток машин.

Я на них перекидываю инфу и "Радминю".

 

Cell

Спасибо, попробую когда будет время.

Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...

я что-то не могу понять, в чем проблема-то? вот совершенно рабочий вариант:

rdr on fxp0 proto tcp from any to any port 1723 -> 10.16.1.1 port 1723
rdr on fxp0 proto gre from any to any  -> 10.16.1.1

 

где fxp0 исходящий интерфейс, смотрящий на АДСЛ (режим роутера с проброшенным портом)

10.16.1.1 им входного интерфейса (локалка)

в файрволе что-то типа такого:

 

02012 allow gre from any to any
02020 allow tcp from any to any dst-port 80,443,1723

 

У меня через эту хрень даже довольно весело интернетить получается.

 

Спасибо, помогло. Однако хотелось бы, чтобы сие работало для более чем одной машины в сети.

Если сделать что-то вроде -> 10.0.0.0/24 - будет ли такое работать с несколькими машинами одновременно?

Ссылка на сообщение
Поделиться на других сайтах

Нет, то что вы предлагаете чуток не то ), если приведенная схема для нескольких не работает то надо гуглить

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...