https://www.opennet.ru/openforum/vsluhforumID1/89630.html На шлюзе (192.168.1.3) поднят mpd5 как pptp-client. Шлюз пингует сервера в инете, все ок, а из локальной сети дальше vpn-сервера ничего не пингуется. Firewall отключил (в open).<br>С pptpclient такой фигни небыло, но программа слишком резала скорость соединения.<br><br>Таблица маршрутизации<br><br><br>Destination Gateway Flags Refs Use Netif Expire<br>default 87.100.200.7 UGS 0 847 ng0<br>10.20.20.0/24 ink#1 U 0 0 rl0<br>10.20.20.39 link#1 UHS 0 0 lo0<br>87.100.210.50 link#6 UHS 0 0 lo0<br>87.100.200.7 link#6 UH 0 0 ng0<br>127.0.0.1 link#5 UH 0 0 lo0<br>192.168.1.0/24 link#2 U 1 701 rl1<br>192.168.1.3 link#2 UHS 0 0 lo0<br>192.168.100.0/24 10.20.20.1 https://www.opennet.ru/openforum/vsluhforumID1/89630.html#14 Mon, 20 Sep 2010 05:37:26 GMT здесь конфиг IPFW+NAT<br>http://blogs.mail.ru/mail/povodms/1501E3AEFB086101.html<br>здесь конфиг MPD5<br>http://blogs.mail.ru/mail/povodms/45CDE0721832720.html<br>здесь конфиг ядра для ядерного NAT + IPFIREWALL. Мне просто не улыбается подгружать NAT в качестве модуля, PF - не люблю.<br>http://blogs.mail.ru/mail/povodms/794D41D6C34E5CD7.html<br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#13 Sun, 19 Sep 2010 15:58:51 GMT &gt;Дело не в изменениях, а в руках, извините. <br>&gt;<br>&gt;В мпд есть опция, включающая ядерный нат при поднятии интерфейса. Задействуйте её. <br>&gt;<br>&gt;//вероятно вы привыкли к аналогичной опции pptpclient-а (включение нат), если я правильно <br>&gt;помню таковая в нем есть. <br><br>гмм.. можно с этого момента поподробнее? впервые слышу о таком. <br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#12 Wed, 01 Sep 2010 02:24:41 GMT &gt;&gt;Так повесить нат на ng0. И еще у вас нат ядерный, зачем <br>&gt;&gt;юзать программный. <br>&gt;<br>&gt;На ng0 пробовал - отваливается все, включая внешнюю сеть. До этого имел <br>&gt;дело с фрибздей 4-кой, все работало.. Что за изменения такие вышли???? <br>&gt;<br><br>Дело не в изменениях, а в руках, извините.<br><br>В мпд есть опция, включающая ядерный нат при поднятии интерфейса. Задействуйте её.<br>//вероятно вы привыкли к аналогичной опции pptpclient-а (включение нат), если я правильно помню таковая в нем есть. <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#11 Tue, 31 Aug 2010 18:32:10 GMT &gt;Так повесить нат на ng0. И еще у вас нат ядерный, зачем <br>&gt;юзать программный. <br><br>На ng0 пробовал - отваливается все, включая внешнюю сеть. До этого имел дело с фрибздей 4-кой, все работало.. Что за изменения такие вышли????<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#10 Tue, 31 Aug 2010 12:44:23 GMT Так повесить нат на ng0. И еще у вас нат ядерный, зачем юзать программный.<br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#9 Tue, 31 Aug 2010 06:33:47 GMT Подниму тему. Точно такая же проблема. Шлюз на FreeBSD 8.0, две сетевухи - одна смотрит в инет, вторая в локалку. Через mdp5 поднят VPN до провайдера, шлюз инет видит. Локалка - нет. Из локалки также доступны только внешняя сеть - днс и внешний шлюз.<br><br>В ядре -<br><br>#NETGRAPH<br>options NETGRAPH<br>options NETGRAPH_SOCKET<br>options NETGRAPH_ETHER<br>options NETGRAPH_PPP<br>options NETGRAPH_PPPOE<br>options NETGRAPH_MPPC_ENCRYPTION<br>options NETGRAPH_IFACE<br>options NETGRAPH_NETFLOW<br>options NETGRAPH_PPTPGRE<br>options NETGRAPH_TEE<br>options NETGRAPH_ONE2MANY<br>options NETGRAPH_NAT<br>options LIBALIAS<br>options NETGRAPH_IPFW<br><br># FIREWALL<br>options IPFIREWALL <br>options IPFIREWALL_VERBOSE <br>options IPFIREWALL_VERBOSE_LIMIT=10 <br>options IPDIVERT <br>options DUMMYNET <br>options IPFIREWALL_FORWARD <br>options IPFIREWA https://www.opennet.ru/openforum/vsluhforumID1/89630.html#8 Fri, 20 Aug 2010 11:10:46 GMT &gt;<br>&gt;tcpdump -i ng0 icmp <br>&gt;и попинговать из локалки <br><br>Проблема оказалась в ipwf.<br>Теперь другая проблема - настройка.. Не работают (даже!) ключи OPEN и UNKNOWN. Ставлю в SIMPLE, и вуаля работает яндекс))) все другое не работает...<br><br>В правилах пробовал прописать:<br>divert natd all from any to any<br>allow all from any to any<br><br>В rc.conf:<br>nat_enable="YES"<br>nat_interface="rl0" и ng0 пробовал, и подключать конф-файл с use_sockets yes и same_ports yes пробовал.<br>В чем рыба зарыта??<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#7 Thu, 19 Aug 2010 10:48:39 GMT &gt;&gt;а форвард между интерфейсами включен? <br>&gt;<br>&gt;NAT настроен, из локали пингуется: 10.20.20.39, 10.20.20.1, и vpn-сервер 192.168.100.205 и выданные <br>&gt;им адреса (87.100.210.50, 87.100.200.7). <br>&gt;<br>&gt;Повторюсь, когда ставил пакет pptpclient, все работало гуд!.. <br><br>ipfw show<br>pfctl -sa<br><br>tcpdump -i ng0 icmp<br>и попинговать из локалки<br> https://www.opennet.ru/openforum/vsluhforumID1/89630.html#6 Thu, 19 Aug 2010 08:37:53 GMT &gt;DNS? <br><br>В resolv.conf прописаны dns. <br>DNS не причем тут, из локали в этом случае можно было бы не по имени пинговать, а по ip. Не пингуется..<br>