https://opennet.ru/openforum/vsluhforumID10/4490.html Есть машина с халявным инетом.<br>Теперь хочу этот самый интернет дома пользовать <br><br>На компе, который будет шлюзом в инет стоит freebsd.<br>Поставил из пакетов openvpn.<br>Настроил запустил на шлюзе как server, у себя как client.<br>Запускается, подключается, с этим проблем нет.<br><br>Нужно чтобы я мог ходить в зловещий интернет через машину с халявным инетом.<br>Сделал чтобы при подключении к серверу openvpn, default gateway на клиенте выставлялся в ип сервера openvpn:<br><br>push "redirect-gateway def1 bypass-dhcp"<br><br>но вычитал, что теперь нужно натить все пакеты с айпи адреса сервера openvpn на реальный адрес и обратно<br>на оффсайте openvpn.net дано описание как это сделать на Линухе:<br><br>iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE<br><br>на хабре советуют так:<br>iptables -v -t nat -A POSTROUTING -o EXTERNAL_IF -s VPN_NET/24 -j SNAT --to-source SERVER_IP<br>EXTERNAL_IF, VPN_NET и SERVER_IP заменить на внешний интерфейс, сеть VPN и внешний (!) IP сервера соответственно.<br><br>Как сделать переадресацию во free https://opennet.ru/openforum/vsluhforumID10/4490.html#11 Sun, 31 Jan 2010 15:32:13 GMT Проблему решил, помогла статья про PF, которую дал reader. Очень легко настроил через него NAT<br> https://opennet.ru/openforum/vsluhforumID10/4490.html#10 Sun, 31 Jan 2010 15:30:37 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE <br>&gt;&gt;&gt;&gt;iptables -v -t nat -A POSTROUTING -o EXTERNAL_IF -s VPN_NET/24 -j SNAT <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;приведены команды для Linux iptables, а никак не для FreeBSD <br>&gt;&gt;<br>&gt;&gt;поэтому и спрашиваю как сделать переадресацию именно для FreeBSD <br>&gt;<br>&gt;http://www.opennet.ru/base/net/pf_faq.txt.html <br><br>Спасибо, очень хорошая статья<br>Разобрался с NAT, все работает как надо :)<br> https://opennet.ru/openforum/vsluhforumID10/4490.html#9 Sun, 31 Jan 2010 14:56:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;для самого VPN NAT не нужен, там просто маршрутизация, а вот если <br>&gt;&gt;еще кого-то кроме сервера нужно выпустить в инет, то да. <br>&gt;<br>&gt;ну смотри, это дело вкуса. <br>&gt;просто на мой взгляд, чем возиться с роутингом, проще сделать еще один <br>&gt;NAT и все дела... <br>&gt;<br>&gt;тогда тебе просто на основном (халявном) сервере надо правильно настроить NAT, чтобы <br>&gt;он понимал все внутренние сети (кроме LAN еще и VPN подсеть). <br>&gt;<br><br>гы, гы . вопросы не мои. всего лишь уточнил :).<br><br>маршрутизация не такая уж и сложная штука :)<br> https://opennet.ru/openforum/vsluhforumID10/4490.html#8 Sun, 31 Jan 2010 13:29:11 GMT <br>&gt;для самого VPN NAT не нужен, там просто маршрутизация, а вот если <br>&gt;еще кого-то кроме сервера нужно выпустить в инет, то да. <br><br>ну смотри, это дело вкуса.<br>просто на мой взгляд, чем возиться с роутингом, проще сделать еще один NAT и все дела...<br><br>тогда тебе просто на основном (халявном) сервере надо правильно настроить NAT, чтобы он понимал все внутренние сети (кроме LAN еще и VPN подсеть).<br> https://opennet.ru/openforum/vsluhforumID10/4490.html#7 Sun, 31 Jan 2010 11:25:58 GMT &gt;<br>&gt;&gt;у меня в стране траффик внутри местных провайдеров считается по одному курсу, <br>&gt;&gt;а траффик наружу гораздо дороже. поэтому хочу наружу вылазить через комп <br>&gt;&gt;на котором траффик вобще не считается, а траффик между этим шлюзом <br>&gt;&gt;и моим компом считается как местный <br>&gt;<br>&gt;ок, а разве на "халявном компе" УЖЕ не стоит NAT? ведь ты <br>&gt;когда подключаешься через openvpn, ты просто попадаешь во внутреннюю сеть того <br>&gt;компа. и если там все сделано по уму, то по идее <br>&gt;автоматически NAT должен будет и твои пакеты отлавливать тоже. <br><br>для самого VPN NAT не нужен, там просто маршрутизация, а вот если еще кого-то кроме сервера нужно выпустить в инет, то да.<br>&gt;[оверквотинг удален]<br>&gt;<br>&gt;посмотри тут http://wiki.zeynalov.com/vagif:docs:freebsd:pf это мой живой конфиг. <br>&gt;pf.conf - определяет глобальные настройки сети <br>&gt;pf-anchor.sh - вызывается из openvpn -&gt; client.up<br>&gt; /etc/pf/pf-anchor.sh up anchor_name $1 $4 $5 <br>&gt;<br>&gt;получается, что поднимая линк openvpn <br>&gt;1. устанавливает default gateway на нужную сеть <br> https://opennet.ru/openforum/vsluhforumID10/4490.html#6 Sun, 31 Jan 2010 10:30:49 GMT <br>&gt;у меня в стране траффик внутри местных провайдеров считается по одному курсу, <br>&gt;а траффик наружу гораздо дороже. поэтому хочу наружу вылазить через комп <br>&gt;на котором траффик вобще не считается, а траффик между этим шлюзом <br>&gt;и моим компом считается как местный <br><br>ок, а разве на "халявном компе" УЖЕ не стоит NAT? ведь ты когда подключаешься через openvpn, ты просто попадаешь во внутреннюю сеть того компа. и если там все сделано по уму, то по идее автоматически NAT должен будет и твои пакеты отлавливать тоже.<br><br>кстати, тебе надо будет настроить NAT только на своем сервере, чтобы пакеты выходя в openvpn канал конвертились.<br><br>посмотри тут http://wiki.zeynalov.com/vagif:docs:freebsd:pf это мой живой конфиг.<br>pf.conf - определяет глобальные настройки сети<br>pf-anchor.sh - вызывается из openvpn -&gt; client.up<br> /etc/pf/pf-anchor.sh up anchor_name $1 $4 $5<br><br>получается, что поднимая линк openvpn<br>1. устанавливает default gateway на нужную сеть<br>2. запускает pf скрипт, который поднимает NAT на пакету уходящие https://opennet.ru/openforum/vsluhforumID10/4490.html#5 Sun, 31 Jan 2010 10:18:56 GMT &gt;просто в конфиге openvpn'а пропиши <br>&gt;<br>&gt;; Default gateway <br>&gt;redirect-gateway def1 <br>&gt;<br>&gt;он САМ после установления соединения поменяет default gateway на нужный IP <br>&gt;<br>&gt;только что-то я не очень понимаю всей это операции? <br>&gt;в чем смысл подключаться к "халявному компьютеру", везь само подключение ты делаешь через ИНТЕРНЕТ! следовательно весь трафик INET =&gt; FREE_COMP =&gt; YOU равняется INET =&gt; YOU + ты еще тратишь какую-то емкость на vpn пакеты...<br><br>у меня в стране траффик внутри местных провайдеров считается по одному курсу, а траффик наружу гораздо дороже. поэтому хочу наружу вылазить через комп на котором траффик вобще не считается, а траффик между этим шлюзом и моим компом считается как местный<br> https://opennet.ru/openforum/vsluhforumID10/4490.html#4 Sun, 31 Jan 2010 06:58:45 GMT просто в конфиге openvpn'а пропиши<br><br>; Default gateway<br>redirect-gateway def1 <br><br>он САМ после установления соединения поменяет default gateway на нужный IP<br><br>только что-то я не очень понимаю всей это операции?<br>в чем смысл подключаться к "халявному компьютеру", везь само подключение ты делаешь через ИНТЕРНЕТ! следовательно весь трафик INET =&gt; FREE_COMP =&gt; YOU равняется INET =&gt; YOU + ты еще тратишь какую-то емкость на vpn пакеты...<br> https://opennet.ru/openforum/vsluhforumID10/4490.html#3 Sat, 30 Jan 2010 21:33:48 GMT &gt;&gt;<br>&gt;&gt;&gt;iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE <br>&gt;&gt;&gt;iptables -v -t nat -A POSTROUTING -o EXTERNAL_IF -s VPN_NET/24 -j SNAT <br>&gt;&gt;<br>&gt;&gt;приведены команды для Linux iptables, а никак не для FreeBSD <br>&gt;<br>&gt;поэтому и спрашиваю как сделать переадресацию именно для FreeBSD <br><br>http://www.opennet.ru/base/net/pf_faq.txt.html<br>