forum.opennet.ru

Форум Открытые системы на сервере (VPN / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

VPN сервер и PF, lemurid (ok), 27-Сен-10, (0) [смотреть все]

локалку не видит а маршрут к ней у vpn клиента есть , reader (ok), 16:36 , 27-Сен-10, (1) //

Вроде как есть-route PRINT 172 16 0 0 255 255 0 0 172 16 5 200 1, lemurid (ok), 16:44 , 27-Сен-10, (2) //

а в локалке кто шлюзом указан машина с vpn сервером , reader (ok), 16:52 , 27-Сен-10, (3) //

В локальной сети VPN сервера Да именно он и является В случае VPN клиента гало, lemurid (ok), 17:00 , 27-Сен-10, (5)

gt оверквотинг удален 172 16 5 200 это vpn клиент vpn клиентам выдаете ip из п, reader (ok), 16:58 , 27-Сен-10, (4) //

Да именно так с 200 до 210Еще очень смущаетifconfigng1 flags 88d1 UP,POINTOP, lemurid (ok), 17:03 , 27-Сен-10, (6)

это конечно дело вкуса ,возможно ответы не приходят из локалки tcpdump на в, reader (ok), 17:09 , 27-Сен-10, (7)

Но ответа у кого 200 так и не получает Проблема в bridge0 tcpdump -vv -i br, lemurid (ok), 17:14 , 27-Сен-10, (8)

gt оверквотинг удален 172 16 5 1 не знает mac адрес 172 16 5 200, и запрашивае, reader (ok), 17:36 , 27-Сен-10, (9)

Вопрос только как одной строкой снять все запреты для bridge0 Разве pass quick , lemurid (ok), 17:41 , 27-Сен-10, (10)

проглядел может ng1 тоже в bridge0 запихнуть я бы vpn клиентам сделал бы другу, reader (ok), 17:51 , 27-Сен-10, (11)

Это не объяснит почему тогда например также VPN клиент не пингует 172 16 6 7 ви, lemurid (ok), 18:04 , 27-Сен-10, (12)

172 16 6 7 знает mac адрес 172 16 5 200 172 16 5 200 32 не в подсети 172 16 6 7 , reader (ok), 20:31 , 27-Сен-10, (13)

Сообщения [Сортировка по времени | RSS]

4. "VPN сервер и PF" +/–

Сообщение от reader (ok), 27-Сен-10, 16:58

>[оверквотинг удален]
>>а маршрут к ней у vpn клиента есть?
>
>Вроде как есть
>-route PRINT
>    172.16.0.0      255.255.0.0
>   172.16.5.200     172.16.5.200
>  21
>  172.16.5.200  255.255.255.255
> On-link      172.16.5.200
>276
172.16.5.200 это vpn клиент?
vpn клиентам выдаете ip из подсети локалки?

>[оверквотинг удален]
>
>tracert 172.16.5.1
>Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 30
>
>  1    13 ms    14
>ms    16 ms  172.16.5.200
>  2     *
>   *
>*     Превышен интервал ожидания для запроса.
>  3

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "VPN сервер и PF" +/–

Сообщение от lemurid (ok), 27-Сен-10, 17:03

>172.16.5.200 это vpn клиент?
>vpn клиентам выдаете ip из подсети локалки?
Да именно так. с .200 до .210
Еще очень смущает
ifconfig
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
        inet 172.16.5.200 --> 172.16.5.200 netmask 0xffffffff
Правда в связи с тем что динамический айпи в конфиге mpd стоит
set pptp self 0.0.0.0

Ответить | Правка | Наверх | Cообщить модератору

7. "VPN сервер и PF" +/–

Сообщение от reader (ok), 27-Сен-10, 17:09

>>172.16.5.200 это vpn клиент?
>>vpn клиентам выдаете ip из подсети локалки?
>
>Да именно так. с .200 до .210
это конечно дело вкуса ....,
возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и посмотрите уходят ли пакеты в локалку и есть ли ответы

Ответить | Правка | Наверх | Cообщить модератору

8. "VPN сервер и PF" +/–

Сообщение от lemurid (ok), 27-Сен-10, 17:14

>>>172.16.5.200 это vpn клиент?
>>>vpn клиентам выдаете ip из подсети локалки?
>>
>>Да именно так. с .200 до .210
>
>это конечно дело вкуса ....,
>
>возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и
>посмотрите уходят ли пакеты в локалку и есть ли ответы
Но ответа у кого .200 так и не получает... Проблема в bridge0?
tcpdump -vv -i bridge0
tcpdump: listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes
17:11:33.521633 IP (tos 0x0, ttl 127, id 361, offset 0, flags [none], proto ICMP (1), length 60)
    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 615, length 40
17:11:33.522288 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:34.514226 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:35.511779 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:38.366538 IP (tos 0x0, ttl 127, id 362, offset 0, flags [none], proto ICMP (1), length 60)
    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40
17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46
17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], proto ICMP (1), length 60)
    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40

Ответить | Правка | Наверх | Cообщить модератору

9. "VPN сервер и PF" +/–

Сообщение от reader (ok), 27-Сен-10, 17:36

>[оверквотинг удален]
>    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40
>17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell
>172.16.5.1, length 46
>17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell
>172.16.5.1, length 46
>17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell
>172.16.5.1, length 46
>17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none],
>proto ICMP (1), length 60)
>    172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40
172.16.5.1 не знает mac адрес 172.16.5.200, и запрашивает его но ответа не получает, а так как подсеть одна , то на шлюз по умолчанию ответ не отправляется
попробуйте в pf разрешить все для bridge0.
включите логирование того что блокируется и посмотрите.

Ответить | Правка | Наверх | Cообщить модератору

10. "VPN сервер и PF" +/–

Сообщение от lemurid (ok), 27-Сен-10, 17:41

>попробуйте в pf разрешить все для bridge0.
>включите логирование того что блокируется и посмотрите.
Вопрос только как одной строкой снять все запреты для bridge0? Разве pass quick on $int_if не то что нужно?
arp -a
? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge]
? (172.16.5.3) at ... on bridge0 permanent [bridge]
? (10.73.180.179) at ... on rl0 permanent [ethernet]
? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet]
? (172.16.6.1) at ... on fxp0 permanent [ethernet]
? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]

Ответить | Правка | Наверх | Cообщить модератору

11. "VPN сервер и PF" +/–

Сообщение от reader (ok), 27-Сен-10, 17:51

>>попробуйте в pf разрешить все для bridge0.
>>включите логирование того что блокируется и посмотрите.
>
>Вопрос только как одной строкой снять все запреты для bridge0? Разве pass
>quick on $int_if не то что нужно?
проглядел :)
>
>arp -a
>? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge]
>? (172.16.5.3) at ... on bridge0 permanent [bridge]
>? (10.73.180.179) at ... on rl0 permanent [ethernet]
>? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet]
>? (172.16.6.1) at ... on fxp0 permanent [ethernet]
>? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]
может ng1 тоже в bridge0 запихнуть?
я бы vpn клиентам сделал бы другую подсеть, но на вкус и цвет ....

Ответить | Правка | Наверх | Cообщить модератору

12. "VPN сервер и PF" +/–

Сообщение от lemurid (ok), 27-Сен-10, 18:04

>может ng1 тоже в bridge0 запихнуть?
>я бы vpn клиентам сделал бы другую подсеть, но на вкус и
>цвет ....
Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 (виртуальный сервер vbox bridge на fxp0 (vmail_if)
При чем аrp он узнает... Мало того
length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40
Но увы до 200го пинги уже не доходят... Мистика?

Ответить | Правка | Наверх | Cообщить модератору

13. "VPN сервер и PF" +/–

Сообщение от reader (ok), 27-Сен-10, 20:31

>>может ng1 тоже в bridge0 запихнуть?
>>я бы vpn клиентам сделал бы другую подсеть, но на вкус и
>>цвет ....
>
>Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7
>(виртуальный сервер vbox bridge на fxp0 (vmail_if)
>При чем аrp он узнает... Мало того
172.16.6.7 знает mac адрес 172.16.5.200?
172.16.5.200/32 не в подсети 172.16.6.7/24, а значит 172.16.6.7 не должен знать mac адрес 172.16.5.200.

или может 172.16.6.7 отправил пакет на шлюз который не понял куда его дальше слать. маршрут к 172.16.5.0/24 по идее должен быть приоритетней чем 172.16.0.0/16, соответственно шлюз должен попытаться отправить его в локалку, а не к vpn клиенту.
попробуйте tcpdump в это время на bridge0
>
> length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40
на каком интерфейсе?
>
>Но увы до 200го пинги уже не доходят... Мистика?
таблицу маршрутизации с машины с vpn сервером покажите

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	4. "VPN сервер и PF"	+/–
	Сообщение от reader (ok), 27-Сен-10, 16:58
	>[оверквотинг удален] >>а маршрут к ней у vpn клиента есть? > >Вроде как есть >-route PRINT > 172.16.0.0 255.255.0.0 > 172.16.5.200 172.16.5.200 > 21 > 172.16.5.200 255.255.255.255 > On-link 172.16.5.200 >276 172.16.5.200 это vpn клиент? vpn клиентам выдаете ip из подсети локалки? >[оверквотинг удален] > >tracert 172.16.5.1 >Трассировка маршрута к 172.16.5.1 с максимальным числом прыжков 30 > > 1 13 ms 14 >ms 16 ms 172.16.5.200 > 2 * > * >* Превышен интервал ожидания для запроса. > 3
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok), 27-Сен-10, 17:03
	>172.16.5.200 это vpn клиент? >vpn клиентам выдаете ip из подсети локалки? Да именно так. с .200 до .210 Еще очень смущает ifconfig ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396 inet 172.16.5.200 --> 172.16.5.200 netmask 0xffffffff Правда в связи с тем что динамический айпи в конфиге mpd стоит set pptp self 0.0.0.0
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "VPN сервер и PF"	+/–
	Сообщение от reader (ok), 27-Сен-10, 17:09
	>>172.16.5.200 это vpn клиент? >>vpn клиентам выдаете ip из подсети локалки? > >Да именно так. с .200 до .210 это конечно дело вкуса ...., возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и посмотрите уходят ли пакеты в локалку и есть ли ответы
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok), 27-Сен-10, 17:14
	>>>172.16.5.200 это vpn клиент? >>>vpn клиентам выдаете ip из подсети локалки? >> >>Да именно так. с .200 до .210 > >это конечно дело вкуса ...., > >возможно ответы не приходят из локалки. tcpdump на внутреннем интерфейсе запустите и >посмотрите уходят ли пакеты в локалку и есть ли ответы Но ответа у кого .200 так и не получает... Проблема в bridge0? tcpdump -vv -i bridge0 tcpdump: listening on bridge0, link-type EN10MB (Ethernet), capture size 96 bytes 17:11:33.521633 IP (tos 0x0, ttl 127, id 361, offset 0, flags [none], proto ICMP (1), length 60) 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 615, length 40 17:11:33.522288 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:34.514226 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:35.511779 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:38.366538 IP (tos 0x0, ttl 127, id 362, offset 0, flags [none], proto ICMP (1), length 60) 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40 17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell 172.16.5.1, length 46 17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], proto ICMP (1), length 60) 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "VPN сервер и PF"	+/–
	Сообщение от reader (ok), 27-Сен-10, 17:36
	>[оверквотинг удален] > 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 616, length 40 >17:11:38.367095 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell >172.16.5.1, length 46 >17:11:39.362153 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell >172.16.5.1, length 46 >17:11:40.359593 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.16.5.200 tell >172.16.5.1, length 46 >17:11:43.366298 IP (tos 0x0, ttl 127, id 363, offset 0, flags [none], >proto ICMP (1), length 60) > 172.16.5.200 > 172.16.5.1: ICMP echo request, id 1, seq 617, length 40 172.16.5.1 не знает mac адрес 172.16.5.200, и запрашивает его но ответа не получает, а так как подсеть одна , то на шлюз по умолчанию ответ не отправляется попробуйте в pf разрешить все для bridge0. включите логирование того что блокируется и посмотрите.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok), 27-Сен-10, 17:41
	>попробуйте в pf разрешить все для bridge0. >включите логирование того что блокируется и посмотрите. Вопрос только как одной строкой снять все запреты для bridge0? Разве pass quick on $int_if не то что нужно? arp -a ? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge] ? (172.16.5.3) at ... on bridge0 permanent [bridge] ? (10.73.180.179) at ... on rl0 permanent [ethernet] ? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet] ? (172.16.6.1) at ... on fxp0 permanent [ethernet] ? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet]
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "VPN сервер и PF"	+/–
	Сообщение от reader (ok), 27-Сен-10, 17:51
	>>попробуйте в pf разрешить все для bridge0. >>включите логирование того что блокируется и посмотрите. > >Вопрос только как одной строкой снять все запреты для bridge0? Разве pass >quick on $int_if не то что нужно? проглядел :) > >arp -a >? (172.16.5.1) at ... on bridge0 expires in 158 seconds [bridge] >? (172.16.5.3) at ... on bridge0 permanent [bridge] >? (10.73.180.179) at ... on rl0 permanent [ethernet] >? (10.73.176.1) at ... on rl0 expires in 1180 seconds [ethernet] >? (172.16.6.1) at ... on fxp0 permanent [ethernet] >? (172.16.6.7) at ... on fxp0 expires in 358 seconds [ethernet] может ng1 тоже в bridge0 запихнуть? я бы vpn клиентам сделал бы другую подсеть, но на вкус и цвет ....
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "VPN сервер и PF"	+/–
	Сообщение от lemurid (ok), 27-Сен-10, 18:04
	>может ng1 тоже в bridge0 запихнуть? >я бы vpn клиентам сделал бы другую подсеть, но на вкус и >цвет .... Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 (виртуальный сервер vbox bridge на fxp0 (vmail_if) При чем аrp он узнает... Мало того length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40 Но увы до 200го пинги уже не доходят... Мистика?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "VPN сервер и PF"	+/–
	Сообщение от reader (ok), 27-Сен-10, 20:31
	>>может ng1 тоже в bridge0 запихнуть? >>я бы vpn клиентам сделал бы другую подсеть, но на вкус и >>цвет .... > >Это не объяснит почему тогда например также VPN клиент не пингует 172.16.6.7 >(виртуальный сервер vbox bridge на fxp0 (vmail_if) >При чем аrp он узнает... Мало того 172.16.6.7 знает mac адрес 172.16.5.200? 172.16.5.200/32 не в подсети 172.16.6.7/24, а значит 172.16.6.7 не должен знать mac адрес 172.16.5.200. или может 172.16.6.7 отправил пакет на шлюз который не понял куда его дальше слать. маршрут к 172.16.5.0/24 по идее должен быть приоритетней чем 172.16.0.0/16, соответственно шлюз должен попытаться отправить его в локалку, а не к vpn клиенту. попробуйте tcpdump в это время на bridge0 > > length 74: 172.16.6.7 > 172.16.5.200: ICMP echo reply, id 1, seq 808, length 40 на каком интерфейсе? > >Но увы до 200го пинги уже не доходят... Мистика? таблицу маршрутизации с машины с vpn сервером покажите
	Ответить \| Правка \| Наверх \| Cообщить модератору