Есть удаленный сервер с Win2k+ISA Server 2000 (VPN сервер pp2p) и сервер с FreeBSD 4.10 с двумя сетевухами который обеспечивает клиентов доступом в интернет и должен по идее пропускать vpn. До этого пробовал все тестировать на тестовом серваке потом поднял такую же конфигурацию на этом но vpn не работает :(
------------- rc.conf --------------
ip-адреса изменены
ifconfig_xl0="inet 192.168.5.254 netmask 255.255.255.0"
ifconfig_xl1="inet 212.2.2.2  netmask 255.255.255.192"
defaultrouter="212.1.1.1"
hostname="shark.locadomain"
natd_enable="YES"
natd_interface="xl1"
natd_flags="-s -m -u"
named_enable="YES"
_________________________________________________
Правила IPFW
00010    0       0 allow ip from any to any via lo0
00020    0       0 deny ip from any to 127.0.0.0/8
00030    0       0 deny ip from 127.0.0.0/8 to any
00040 1674  179954 allow tcp from any 22 to any
00050 1735  153860 allow tcp from any to any 22
00051    0       0 deny tcp from any 135-139 to any via xl1
00052   12     576 deny tcp from any to any 135-139 via xl1
00060 1907  288694 fwd 127.0.0.1,3000 tcp from 192.168.5.0/24 to any 80
# squid работает на 3000-м порту поэтому http форвардится  в этот порт
00080    0       0 divert 8668 ip from 192.168.5.0/24 to any out xmit xl1
00090 1567 1165869 divert 8668 ip from any to 212.2.2.2 in recv xl1
00091   50   10080 allow udp from any 53 to 192.168.5.0/24
00092   51    3161 allow udp from 192.168.5.0/24 to any 53
00093  123    8638 allow udp from any to 212.3.3.3 53
00094  123   19716 allow udp from 212.3.3.3 53 to any
00095 1403 1142778 allow tcp from any 80,443,20,21 to me in recv xl1
00100    0       0 deny tcp from any to any 3306 via xl1
00110    0       0 deny tcp from any 3306 to any via xl1
00400   0     0 allow tcp from any 80,443,20,21,3000 to 192.168.5.44
00401   0     0 allow tcp from 192.168.5.44 to any 80,443,20,21,3000
00402   0     0 allow gre from 192.168.5.44 to win-vpn-ip
00403   0     0 allow gre from win-vpn-ip to 192.168.5.44
00404   0     0 allow tcp from 192.168.5.44 to win-vpn-ip 1723
00405   0     0 allow tcp from win-vpn-ip 1723 to 192.168.5.44
65000   0     0 allow ip from 212.2.2.2 to any
65001 204 28732 deny log logamount 10 ip from any to any
65535  14  1291 deny ip from any to any
_____________________________________________________________
tail /var/log/security не выдает что где то запрещается  192.168.5.44
Провайдерская сеть организована по идиотски, много свичей от которых разводятся провода к клиентам. Видимо кто то из «умных» клиентов воткнул в свой свич провайдерский провод потому что постоянно в /var/log/messages появляются сообщения типа
Aug  4 11:59:29 shark /kernel: arp: 192.168.5.44 is on xl0 but got reply from 00:c0:26:a8:cb:60 on xl1
Aug  4 12:00:45 shark /kernel: arp: 192.168.5.44 is on xl0 but got reply from 00:c0:26:a8:cb:60 on xl1
Ответ приходит не из моей сети а из сети этого сраного провайдера видимо из за этого и не работает VPN. Как сделать так чтобы не получать ответ от этих клиентов, а получать ответ от своей сети? Менять ip-адреса во всей сети мне не хочется, а поднимать dhcp сервер нет времени, тем более настройки менять все равно придется по любому. Прописать таблицу arp в ручную на роутере или что? Посоветуйте оптимальный вариант.

Ответить | Сообщить модератору

00010    0       0 allow ip from any to any via lo0
00020    0       0 deny ip from any to 127.0.0.0/8
00030    0       0 deny ip from 127.0.0.0/8 to any
00040  342   23352 allow tcp from any 22 to any
00050  353   31904 allow tcp from any to any 22
00051    0       0 deny tcp from any 135-139 to any via xl1
00052    0       0 deny tcp from any to any 135-139 via xl1
00060    4     586 fwd 127.0.0.1,3000 tcp from 192.168.5.0/24 to any 80
00080 2091  285290 divert 8668 ip from 192.168.5.0/24 to any out xmit xl1
00090 2495 1700462 divert 8668 ip from any to MYIP in recv xl1
00091    0       0 allow udp from any 53 to 192.168.5.0/24
00092    0       0 allow udp from 192.168.5.0/24 to any 53
00093    0       0 allow udp from any to ISPDNS 53
00094    0       0 allow udp from ISPDNS 53 to any
00095    0       0 allow tcp from any 80,443,20,21 to me in recv xl1
00100    0       0 deny tcp from any to any 3306 via xl1
00110    0       0 deny tcp from any 3306 to any via xl1
00205    0       0 allow udp from 192.168.5.242 53 to any
00206    0       0 allow udp from any 53 to 192.168.5.242
00230    0       0 allow tcp from any 80,443,20,21,22,3000,119 to 192.168.5.242
00231    0       0 allow tcp from 192.168.5.242 to any 80,443,20,21,22,3000,119
00251    0       0 allow gre from 192.168.5.242 to win-vpn-ip
00252    0       0 allow gre from win-vpn-ip to 192.168.5.242
00260    0       0 allow tcp from 192.168.5.242 to win-vpn-ip 1723
00261    0       0 allow tcp from win-vpn-ip 1723 to 192.168.5.242
00270    0       0 allow udp from 192.168.5.100 53 to any
00271    0       0 allow udp from any 53 to 192.168.5.100
00272   80   18991 allow tcp from any 80,443,20,21,3000 to 192.168.5.100
00273   44    5095 allow tcp from 192.168.5.100 to any 80,443,20,21,3000
00275 2024  278083 allow gre from 192.168.5.100 to win-vpn-ip
00276 4852 3378342 allow gre from win-vpn-ip to 192.168.5.100
00277   23    2112 allow tcp from 192.168.5.100 to win-vpn-ip 1723
00278   38    2840 allow tcp from win-vpn-ip 1723 to 192.168.5.100
65000 2091  285290 allow ip from win-vpn-ip to any
65001   68    7497 deny log logamount 10 ip from any to any
65535   13     814 deny ip from any to any