Monday, 5 November. 2007

Не так давно возникла интересная задачка по прокидыванию из внутренней сети протокола GRE на один конкретный сервер. Вроде бы казалось чего там делать... Но облом подкрался незаметно.

Для начала опишу конфиг - FreeBSD 6.2-RELEASE-p3 + pf фаервол. Прикол заключается в том что pf не умеет натить GRE с нескольких локальных машин на один (!) внешний VPN сервер. Обидно. Ладно, где наша не пропадала.
Попробуем Frickin Proxy. Убил на это чудо почти сутки и так ничего и не добился. Отсутствие хоть какой-нибудь документации просто убило.
Ладно. Есть верное решение - гугл!

Наивный....
Убив два дня на гугление и эксперименты, с неоценимой помощью админа удаленного VPN сервера, таки удалось найти решение, правда через одно место, но у нас по другому и не бывает

.
Итак:
1. Вкомпиливаем ipfw если он у вас не стоит (я знаю что изврат, но только ipfw умеет корректно работать с GRE), конечно же к нему прилагается natd

2. В /etc/rc.firewall добавляем следующие записи:

$(fwcmd) -f flush

${fwcmd} add divert natd all from int_ips to vpn_ip out xmit rl1

${fwcmd} add divert natd all from vpn_ip to ext_ip in recv rl1

$(fwcmd) add pass all from any to any

где int_ips - наша внутренняя сетка вида 192.168.0.0/24,
vpn_ip - IP нашего VPN сервера,
ext_ip - внешняя IP нашего сервера,
rl1 - соответственно внешний интерфейс.
У кого фаерволом является IPFW дальше можно не читать

.
3. В /etc/pf.conf добавляем следующие записи:

no nat on $ext_if from $internal_net to $vpn_ip

no nat on $ext_if from $vpn_ip to $internal_net

nat on $ext_if from $internal_net to any -> ($ext_if)

где $ext_if - наш внешний интерфейс,
$vpn_ip - IP VPN сервера,
$internal_net - внутренняя сеть,
Перегружаем правила для pf и ipfw и вуаля! Все работает.
Изврат конечно, но рабочий изврат.
Если кто знает как можно сделать менее извращенно - скажите плиз, интересно ведь

Добавил Fenix в категории FreeBSD в 14:46 | Комментарии (18)

Комментарии

Показывать комментарии (Как список | Древовидной структурой)

Fenix !!! если с ipfw это работает, то огромное тебе спасибо !!! очень нехватает информации о конфигах natd ...

#1 Digitek on 2008-02-25 22:48 (Ответить)

100% работает, у меня так 4-е локальные машины одновременно через сервак ходят на один VPN сервер. Какой конкретно информации по natd не хватает?

#1.1 Fenix on 2008-02-26 17:40 (Ответить)

Отлтчно работает ! Спасибо Автору !

#1.2 Nick on 2009-06-18 16:21 (Ответить)

с какими параметрами запускается natd? конфиг natd и что в rc.config... и есть ли чтонить в ядре на предмет GRE? у меня не получалось прокинуть множественные GRE&pptp через natd... и не получается установить 2 GRE, т.е. работает в одно время только один туннель... поднимаю с помощью mpd....

#2 Digitek on 2008-02-26 22:45 (Ответить)

Из настроек у натд только то что прописана в rc.conf: natd_enable="YES" natd_interface="rl1" В ядре прописано дополнительно: ### IPFW options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options BRIDGE Дополнительно еще был включен NETGRAPH в ядре с такими опциями (включен еще до меня, я просто не стал менять): ### NETGRAPH options NETGRAPH options NETGRAPH_BRIDGE options NETGRAPH_ETHER options NETGRAPH_IFACE options NETGRAPH_GIF options NETGRAPH_IP_INPUT options NETGRAPH_L2TP options NETGRAPH_NETFLOW options NETGRAPH_ONE2MANY options NETGRAPH_PPP options NETGRAPH_PPPOE options NETGRAPH_PPTPGRE options NETGRAPH_SOCKET options NETGRAPH_MPPC_ENCRYPTION options NETGRAPH_BPF Пробуйте, может поможет что из этого... ЗЫ Когда уже выкинут в мусорку этот PPTP GRE... Мороки с ним абзац просто, с OpenVPN все намного проще - поставил, настроил и заб(и)ыл

#2.1 Fenix on 2008-02-26 23:07 (Ответить)

Спасибо что откликнулся... rl1 - в твоём случае это внутренний интерфейс смотрящий в сторону клиентов которые пытаются установить связь с впн сервером? Если не сложно приведи пожалуйста содержимое файла /etc/natd.conf, если таковой имеется... очень странно, я пытался прокидывать точно так же как ты и у меня не получилось, опции ядра такиеже, только в правилах ipfw я не использовал xmit и recv, в делал out/in via ${iface}... В логах я видел, что клиент уходит по pptp, а назад на внешний интерфейс приходит gre от впн сервера, но natd то запущен на внутреннем интерфейсе... исходя из этого пытался крутить redirect_proto, хоть это и не совсем то что нужно, ведь нужны множественные pptp&gre... Вообщем рузультата так и не добился... ;( Постараюсь вернуться к этому вопросу в ближайшее время, и протестировать... дело осложняется, тем что сервер работает, и для проверки нужно остаться на ночь в офисе...

#3 Digitek on 2008-02-27 16:02 (Ответить)

Нет, я в заметке же написал что rl1 - это внешний интерфейс. /etc/natd.conf у меня отсутствует, я приверженец pf

Ключевые слова xmit и recv обязательны! Без них ничего пахать не будет, проверенно.

#3.1 Fenix on 2008-02-27 16:36 (Ответить)

Ага ! вот они и грабельки !

выяснилось, что я запутался в natd, видимо потому что их у меня 6 штук... ну и естественно xmit/recv .... Ещё раз спасибо !!!

#4 Digitek on 2008-02-27 20:07 (Ответить)

Спасибо огромное! Тоже приверженец пф, тоже стыкался с этой проблемой. попробую реализовать твоим способом.... А вообще пф рулит)

#5 locust on 2008-10-10 01:36 (Ответить)

Есть проблема. Я не могу знать наверняка куда будуть стучатся клиенты из внутренней сети- наружу, на какой РРТР сервер. Поэтому ворос такой. Пройдет ли такая конструкция ${fwcmd} add divert natd gre from int_ips to any out xmit rl1 ${fwcmd} add divert natd gre from any to int_ips in recv rl1 ${fwcmd} add divert natd tcp from int_ips to any pptp out xmit rl1 ${fwcmd} add divert natd tcp from any pptp to int_ips in recv rl1

#5.1 tovdi (Домашняя страница) on 2008-12-23 22:51 (Ответить)

Этот "хак" предназначен для случая когда несколько локальных клиентов коннектятся на один внешний VPN сервер. Проблема в том что PF одновременно и NAT делает, поэтому для работы такой конструкции в PF нао запретить делать NAT на сервера VPN. Если есть список серверов, который можно забить в PF - то прокатит, если нету - то боюсь не заработает.

#5.1.1 Fenix on 2008-12-23 23:57 (Ответить)

Как реализовать решение задачи, описанной Fenix-ом, c применением ipnat + ipfw на FreeBSD 6.1? Лично у меня ipnat не натит больше одного подключения из локалки на один внешний VPN сервак.

#6 Tringer on 2009-02-17 16:01 (Ответить)

Проблема с GRE в pf Сам давеча столкнулся с такой но все-таки решел через frickin Ставим: cd /usr/ports/net/frickin make install Rонфигурируем: cp /usr/local/etc/frickin.conf.sample /usr/local/etc/frickin.conf echo frickin_enable=\"YES\">> /etc/rc.conf echo frickin_conf=\"/usr/local/etc/frickin.conf\">> /etc/rc.conf Собственно все. Я больше ничего не изменял. Если будем смотреть пример из /usr/local/share/doc/frickin/INSTALL и делать по нему то ничего не заведется. там одной строчки не хватает. Вот пример рабочего "/etc/pf.conf" #Интерфейс локальной сети localnet_if="rl0" #Интерфейс смотрящий в интернет internet_if="rl1" #Собственно NAT nat on $internet_if from ! $internet_if to any -> $internet_if # А теперь PPTP # Все запросы по PPTP из локальной сети направляем на 127.0.0.1 (он указан в настройках frickin'а) rdr on $localnet_if proto tcp from any to any port 1723 ->127.0.0.1 port 1723 # Весь GRE направляем на него же # GRE из локальной сети на frickin rdr on $localnet_if proto gre from any to any ->127.0.0.1 # А вот этой строки и нет в примере /usr/local/share/doc/frickin/INSTALL # Весь GRE из интернета направляем на frickin rdr on $internet_if proto gre from any to any -> 127.0.0.1 #Чтобы не загружать пример просто разрешу всё # pass quick on rdr on $localnet_if all pass quick on rdr on $internet_if all С данными настройками у меня все заработало. Может кому поможет. Удачи.

#7 nil_admirari on 2009-03-25 17:18 (Ответить)

pass quick on rdr on $localnet_if all pass quick on rdr on $internet_if all почему может ругаться на синтаксис этих строк ?

#7.1 Аноним on 2009-07-02 11:56 (Ответить)

У меня то же ругается на эти строчки. Заменил на pass quick all. В общем так у меня ничего и не получилось на FreeBSD 7. Через ipfw не работает больше одного соединения. Через Frickin вообще ничего не получилось:"Ошибка 718 Подключение прервано т.к. удаленный компьютер не ответил вовремя." Кто нибудь нашел решение проблемы подключения к VPN серверу из локальной сети через FreeBSD 7?

#7.1.1 ViKSV on 2009-07-22 06:32 (Ответить)

У меня таже тема! Вы не нашли решения проблемы?

#7.1.2 Виктор Гюго on 2009-09-12 14:34 (Ответить)

Через Freebsd нет, но я выкрутился по другому. У меня еще есть сервер с win2003 (домен и т.д.). Идея в том что 2003 сервер устанавливает ВПН соединение. А далее вначале через удаленный доступ человек заходит на win2003, а потом с него заходит на удаленный компьютер через уже установленный ВПН. В принципе работает весьма неплохо для 4 человек. Думаю подобную схему можно реализовать и на FreeBSD, но пока не разбирался.

#7.1.2.1 VikSV on 2009-09-13 09:53 (Ответить)

#Чтобы не загружать пример просто разрешу всё # pass quick on $localnet_if all pass quick on $internet_if all (c) привет. а ты вот как раз не мог бы расписать подробней на pass in\out относительно pptp, gre для внутреннего интерфейса. так то у меня все коннектится с пользовательских машин, но если полностью pass all сделать для внутреннего интерфейса. пол-дня убил, а не могу понять чего ему надо и почему так не работает: #pptp pass in on $int_if_1 inet proto tcp from $local_network_1 to any port pptp keep state #gre pass in on $int_if_1 inet proto gre from $local_network_1 to any keep state ибо с таким же доступом для внутреннего интерфейса, но только без frickin'а работало на ура. спасибо.

#7.2 atomic on 2009-09-27 14:40 (Ответить)

Добавить комментарий

Имя
Email
Домашняя страница
В ответ на
Комментарий	Enclosing asterisks marks text as bold (word), underscore are made via _word_. E-Mail addresses will not be displayed and will only be used for E-Mail notifications. To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly. Enter the string from the spam-prevention image above: Standard emoticons like :-) and ;-) are converted to images.
	Запомнить информацию? Подписаться на эту запись