BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 30 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Переадресация PPTP
СообщениеДобавлено: Вт 19 янв, 2021 4:39 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Итак, есть сервер на FreeBSD, на который подключаются по ППТП, его адрес- 192.168.0.20. Появились юзеры, сидящие в другой сети 192.168.3.0/24. Между ними и этим сервером стоит комп тоже с FreeBSD, который работает как роутер. Т.е. одной сетевой картой с адресом 192.168.3.9 он смотрит в сторону сети 192.168.3.0.24, а другой- с адресом 192.168.0.9 - в сторону сервера. Мне нужно, чтобы эти юзеры подключались по пптп к 192.168.3.9(т.е. у них именно этот адрес был прописан в поле "IP- адрес назначения"), а подключались в итоге к серверу. Я настроил проброс портов на 192.168.0.9, подключение начинает устанавливаться, но зависает на проверке пользователя/пароля и потом отваливается по таймауту. Получается, что вроде как GRE не проходит? telnet 192.168.0.20 1723 - проходит..
rdr pass log on $ext_if proto { tcp udp } from any to $ext_ip port 1723 -> 192.168.0.20 port 1723
rdr pass log on $ext_if proto gre from any to $ext_ip -> 192.168.0.20


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 12:06 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
А что говорит tcpdump на внутреннем интерфейсе роутера: gre-пакеты там видны?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 1:57 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Судя по тому, что выдает tcpdump, сервер шлет gre- пакеты юзеру, а тот молчит. При этом, если посмотреть на внешнем интерфейсе роутера, то мы видим отправку gre-пакетов от юзера на внешний интерфейс роутера: "IP 192.168.3.100 > 192.168.3.9: GREv1, call 52828, seq 10, length 36: LCP, Conf-Request (0x01), id 1, length 22"
Т.е. сервер шлет пакеты на адрес юзера и он их получает, а юзер серверу шлет пакеты на адрес роутера и сервер эти пакеты не получает.

Вывод команды tcpdump -n -i sk0 proto gre на внутреннем
12:39:48.870301 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 0, length 54: LCP, Conf-Request (0x01), id 1, length 40
12:39:50.871759 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 1, length 54: LCP, Conf-Request (0x01), id 2, length 40
12:39:52.872016 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 2, length 54: LCP, Conf-Request (0x01), id 3, length 40
12:39:54.872235 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 3, length 54: LCP, Conf-Request (0x01), id 4, length 40
12:39:56.874330 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 4, length 54: LCP, Conf-Request (0x01), id 5, length 40
12:39:58.876684 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 5, length 54: LCP, Conf-Request (0x01), id 6, length 40
12:40:00.876042 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 6, length 54: LCP, Conf-Request (0x01), id 7, length 40


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 2:26 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
То есть нет ответных пакетов от 192.168.3.100 на 192.168.0.20.

Посмотрите, возможно ответные пакеты уходят не через тот интерфейс или закрыто файерволом.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 2:49 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
skeletor писал(а):
То есть нет ответных пакетов от 192.168.3.100 на 192.168.0.20.


Насколько я разбираюсь в пптп, получается так: 192.168.3.100 устанавливает связь с 192.168.3.9(это роутер). На роутере проброшены порт 1723 и gre- трафик на сервер 192.168.0.20, т.е. фактически соединение устанавливается с ним. Инициатор соединения отправляет запрос через порт 1723, он перекидывается на 0.20(за это отвечает строка rdr on $ext_if proto { tcp udp } from any to $ext_ip port 1723 -> 192.168.0.20 port 1723), тот его принимает, соединение установлено. Теперь 0.20 шлет инициатору(т.е. 3.100) gre- пакеты, инициатор их получает. После этого инициатор(3.100) шлет ответные пакеты, но шлет их на 3.9, потому что он изначально соединялся с ним. Теперь 3.9 должен перекинуть эти пакеты на 0.20, но почему-то это не делает, хотя в конфиге есть строка rdr on $ext_if proto gre from any to $ext_ip -> 192.168.0.20. Осталось понять- почему он не перекидывает..


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 2:57 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
Не понимаю схему прохождения пакетов. Вы могли бы нарисовать картинкой полный путь подключения?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 3:13 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
skeletor писал(а):
Не понимаю схему прохождения пакетов. Вы могли бы нарисовать картинкой полный путь подключения?


Вложения:
Схема.jpg
Схема.jpg [ 67.91 КБ | Просмотров: 4532 ]
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 3:38 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
теперь ясно. если нет ответных пакетов - смотрите на стороне роутера: почему он их не отправляет.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 3:49 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
skeletor писал(а):
теперь ясно. если нет ответных пакетов - смотрите на стороне роутера: почему он их не отправляет.

Смотрим на роутере на интерфейсе, который смотрит на юзера:
14:44:25.708055 IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 0, length 54: LCP, Conf-Request (0x01), id 1, length 40
14:44:25.713989 IP 192.168.3.100 > 192.168.3.9: GREv1, call 52843, seq 1, length 36: LCP, Conf-Request (0x01), id 1, length 22

Т.е. не перебрасывается GRE от юзера на сервер. Т.е. юзер кидает gre на адрес роутера, а тот, вместо того, чтобы перекинуть его на сервер- ничего не делает.
Куда копать?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 4:22 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
На 192.168.3.100 ответные пакеты видны? Если нет, то блокирует их 192.168.3.9

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 5:00 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
skeletor писал(а):
На 192.168.3.100 ответные пакеты видны? Если нет, то блокирует их 192.168.3.9

1. На 3.100 пакеты от сервера приходят, их видно на роутере на том интерфейсе, который смотрит на 3.100 : "IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 0 "
2. Потом этот 3.100 шлет ответный пакет- его тоже видно на этом интерфейсе: "IP 192.168.3.100 > 192.168.3.9: GREv1, call 52843, seq 1"

А вот "с другой стороны" роутера- на интерфейсе, который смотрит на сервер- этих пакетов нет. Т.е. GRE- пакеты не перекидываются роутером с одного на другой интерфейс. Есть мысли- почему он это не делает?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 5:13 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
Да, я их высказал в посте выше

viewtopic.php?f=13&t=29156&p=179136#p179128

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 5:22 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
skeletor писал(а):
Да, я их высказал в посте выше

viewtopic.php?f=13&t=29156&p=179136#p179128

"Посмотрите, возможно ответные пакеты уходят не через тот интерфейс"- у него только 2 интерфейса- на один пакеты приходят, на другом должны появиться- т.е. других интерфейсов нет.
" или закрыто файерволом." - в rc.conf есть строка firewall_enable="NO" - т.е. файервол выключен.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 5:36 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
нужно смотреть не настройки rc.conf, а текущие правила файрвола:
Код:
ipfw show

если используется ipfw, или
Код:
pfctl -sr

если используется pf.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 5:38 pm 
Не в сети

Зарегистрирован: Пт 03 сен, 2004 1:26 pm
Сообщения: 2488
# 1. redirect pptp port
rdr on $ext_if proto tcp from any to any port 1723 -> $ip_internal_server port 1723

# 2. redirect gre traffic
rdr on $ext_if proto gre from any to any -> $ip_internal_server

# pass all the gre traffic
pass quick proto gre all

# pass traffic in port 1723
pass in quick on $ext_if from any to any port 1723 keep state
pass out quick all keep state

не?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 5:45 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
что "не"?
У вас выше могут быть запрещающие правила, которые могут блокировать ваши 1,2. Правила файрвола нужно смотреть те, которые загружены, то есть через команду pfctl -sr. В идеале, можно посмотреть счётчики срабатывания правил через
Код:
pfct -sr -v
.
Тогда точно будет видно, срабатывают ли они.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 6:13 pm 
Не в сети

Зарегистрирован: Пт 03 сен, 2004 1:26 pm
Сообщения: 2488
skeletor писал(а):
что "не"?

меня не интересует набор правил который наваял топикастер ДО...
Цитата:
У вас выше могут быть запрещающие правила, которые могут блокировать ваши 1,2. Правила файрвола нужно смотреть те, которые загружены, то есть через команду pfctl -sr. В идеале, можно посмотреть счётчики срабатывания правил через
Код:
pfct -sr -v
.
Тогда точно будет видно, срабатывают ли они.

вот и пусть смотрит


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 6:19 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
/etc# pfctl -sr -v
No ALTQ support in kernel
ALTQ related functions disabled
pass quick proto gre all keep state
[ Evaluations: 26298 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 7202 ]
pass in quick on sk1 proto tcp from any to any port = pptp flags S/SA keep state
[ Evaluations: 26298 Packets: 120 Bytes: 11760 States: 3 ]
[ Inserted: uid 0 pid 7202 ]
pass in quick on sk1 proto udp from any to any port = 1723 keep state
[ Evaluations: 388 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 7202 ]
pass out quick all flags S/SA keep state
[ Evaluations: 26290 Packets: 21645 Bytes: 13191405 States: 243 ]
[ Inserted: uid 0 pid 7202 ]
drouter-n: /etc#


А вообще, вот ВЕСЬ конфиг:
ext_if="sk1"
ext_ip="192.168.3.9"
rdr on $ext_if proto { tcp udp } from any to any port 1723 -> 192.168.0.20 port 1723
rdr pass on $ext_if proto gre from any to $ext_ip -> 192.168.0.20
pass quick proto gre all
pass in quick on $ext_if proto { tcp udp } from any to any port 1723 keep state
pass out quick all keep state


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 7:07 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1209
Откуда: Kyiv
На интерфейсе ext_ip="192.168.3.9" винды ответные пакеты?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Переадресация PPTP
СообщениеДобавлено: Ср 20 янв, 2021 7:15 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
skeletor писал(а):
На интерфейсе ext_ip="192.168.3.9" винды ответные пакеты?

Этот интерфейс смотрит на юзера. Вот что мы на нем видим:
1. "IP 192.168.0.20 > 192.168.3.100: GREv1, call 1, seq 0 " - это шлет сервер юзеру
2. "IP 192.168.3.100 > 192.168.3.9: GREv1, call 52843, seq 1" - это ответ, который шлет юзер серверу
Т.е. юзер шлет пакет на интерфейс ext_ip="192.168.3.9", откуда роутер должен перекинуть пакет на интерфейс, который смотрит на сервер.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 30 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика