Настройка серверной части VPN.. (Роутинг траффика)

Такой вопрос..
Есть ОпенВПН...
Настроенный.. Конектится нормально. Создается собственно Virtual Private Network.. У сервера - 10.8.0.1 у клиента - 10.8.0.2. Оба пингуются на ура.. Сервер по 10.8.0.1 - доступен... Весь траффик у клиента - роутится в ВПН-сеть.. (Шлюз - 10.8.0.1). А вот на сервере он не "выруливается" в инет )))
1. Как побороть?... ) Что на сервере сделать?.. IPNat?... Надо все из tun0 направить в bge0... Или по айпишнику как-то... За примеры был бы благодарен...
2. Можно ли на клиенте трафик роутить в ВПН только с определенного набора портов (ftp, http)?.. Чем это сделать?...

На сервере - FreeBSD 6.2..

Дамп ifconfiga сервера:

Код:

# ifconfig bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>         inet XXX.XXX.XXX.XXX netmask 0xfffffff8 broadcast XXX.XXX.XXX.XXX         [..И еще подобных пара десятков :-)..]         ether XX:XX:XX:XX:XX:XX   [<-- MAC]         media: Ethernet autoselect (100baseT/UTP <full-duplex>)         status: active lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384         inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2         inet6 ::1 prefixlen 128         inet 127.0.0.1 netmask 0xff000000 tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500         inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffffff         Opened by PID 61485

Всем кто по теме постит - +4/пост :-)
Заранее спасибо за помощь! (:

да, добавляешь правило для роутинга трафа с серого айпишника клиента на белый IP сервера и все

Спасибо за ответ! :) +3. Я то в теории понимаю, что так... Мне бы на практике показать - что и как сделать... Как роутить траффик оттуда - туда.. В каких файлах хранится эта инфа... Вроде как еще что-то надо в rc.conf прописать, чтоб служба, которая роутит траффик запускалась автоматом (она сейчас не запущена)... В доке ОпенВПНа нашел просто команду для iptables, с выполнением которой траффик быстро начинает роутится куда надо, но iptables не под FreeBSD... :-) А играться с этим не зная, что получится в итоге - не хочется, ибо Оффтопик: Когда-то пытался IP на сервер добавить.. Через ifconfig.. Так повесил сервак на полчаса, пока не ребутнули.. :-) Больше не хочу

Спасибо!

1) я делаю с помощью nat+ipfw, но если у тебя малый опыт в администрировании, то лучше попроси админа, т.к. действительно вероятность положить сервер велика
2) Нельзя насколько я знаю, если я правильно тебя понял.

ступил, потер

если я правильно понял у тебя freebsd, если да то делай это

В /etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/firewall.rc"
natd_enable="YES"
natd_flags="-a {IP сервака}"
gateway_enable="YES"

В /etc/firewall.rc:
-f flush
add pass all from any to any via lo0
add deny all from 127.0.0.1 to any
add deny all from any to 127.0.0.1
add divert natd all from 10.8.0.0/24 to any out via bge0
add divert natd all from any to {IP сервака} in via bge0

/etc/rc.d/ipfw start

только первый ип сервака не рекомендую прописывать как внешний "{IP сервака}"

И обязательно сделай копию оригинального rc.conf, чтобы если положишь сервак, в датацентре его легко и быстро подняли. )

DelGod за попытку получает +4 - Большое Спасибо! )
supphosting.com - за офигенный совет +3 )) Подняли быстро и fsck шустро сделали ))))

Хи-хи... В общем, как говорил мой научный руководитель - "отрицательный результат - тоже результат".. ))

Сервак повесил на ура... Повеслися он при старте ipfw.. Перед тем, как отвалился ssh, смог прочесть строчки, мол всего этого - firewall_enable,natd_enable,gateway_enable - нету... Но пошерстив опеннет понял, что DelGod дело говорит, и многое правильно сказал.. Вот только похоже у меня в ядре это все не включено :-(( Как включить - не знаю )) Но научусь, блин..

* Кто подскажет куда это писать и как пересобирать ядро?.. :-))) :

Код:

options         IPFIREWALL options         IPFIREWALL_VERBOSE options         IPFIREWALL_VERBOSE_LIMIT=100    options         IPFIREWALL_FORWARD    options         IPDIVERT

:-) Мои безграничные благодарности будут подарены сполна )))

И еще я понял, что перед тем, как работать удаленно, по ssh с ipfw Надо пустить

Код:

shutdown -r +10

и если все ок, то успеть сделать

Код:

kill shutdown

..
Может кто предложит что-то поэлегантнее?...
P.S. Правда если ipfw запустится, а лажа будет с правилами, и из-за этого ssh отвалится, то перезагрузка, как я понял - не поможет... )


P.S. Пора дедик для тестов купить... (:

Dantist писал:

* Кто подскажет куда это писать и как пересобирать ядро?.. :-))) : Код: options         IPFIREWALL options         IPFIREWALL_VERBOSE options         IPFIREWALL_VERBOSE_LIMIT=100    options         IPFIREWALL_FORWARD    options         IPDIVERT

прописать в /usr/src/sys/i386/conf/GENERIC
компилить из папки /usr/src командой make buildkernel
устанавливать make installkernel

color писал:

прописать в /usr/src/sys/i386/conf/GENERIC компилить из папки /usr/src командой make buildkernel устанавливать make installkernel

Если uname -i выдаст что то отличающееся от GENERIC
то соответветственно редактировать тот файл конфигурации ядра который он выдаст, после собирать make buildkernel KERNCONF=имя_конфига инсталлить make installkernel KERNCONF=имя_конфига.

сорри, за ядро подумал что само собой разумеющееся =(
в ядре должно быть

options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_VERBOSE_LIMIT=10000 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPDIVERT


как собрать ядро тут http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/kernelconfig-building.html

Всем спасибо! Рейтинга накинул, куда копать - понял ))))

Обновил Через cvsup - /usr/src.. Скопировал GENERIC в DANTISTKERNEL :)) Вставил необходимые options..
Делаю buildkernel - сказал config не тот.. Заапдейтил...
Делаю опять - ошибка типа "unrecognized command line option "-Wno-pointer-sign"".. Шерстю инет - нужен gcc 4.X.. :-) Тепаем в /usr/ports/lang/gcc42/ .. Собираем...

Ухх.. Уже минут 20 собирается... :-)
Ладно, потом отпишу о резалтах, если ошибки будут какие.. :)

Всем еще раз спасибо!

Последний раз редактировалось: Dantist (13/09/07 в 18:02), всего редактировалось 1 раз

Dantist писал:

Всем спасибо! Рейтинга накинул, куда копать - понял )))) Обновил Через cvsup - /usr/src.. Скопировал GENERIC в DANTSITKERNEL ) Вставил необходимые options.. Делаю buildkernel - сказал config не тот.. Заапдейтил... Делаю опять - ошибка типа "unrecognized command line option "-Wno-pointer-sign"".. Шерстю инет - нужен gcc 4.X.. :-) Тепаем в /usr/ports/lang/gcc42/ .. Собираем... Ухх.. Уже минут 20 собирается... :-) Ладно, потом отпишу о резалтах, если ошибки будут какие.. Всем еще раз спасибо!

надо
make buildkernel KERNCONF=DANTSITKERNEL
make installkernel KERNCONF=DANTSITKERNEL

Vinipux писал:

надо make buildkernel KERNCONF=DANTSITKERNEL make installkernel KERNCONF=DANTSITKERNEL

Ну эт я знаю, не в танке )))) Так и делаю.. ) Но для теста, перед тем как config и gcc апдейтить - попробовал собрать GENERIC тоже.. Не собрался )))

P.S. Хех.. gcc еще собирается... ) Динозавр однако.. )))

В общем gcc собрал, но инсталлить не стал.. :-(
Заменять 3ю ветку 4й... Когда некоторые порты требуют только 3й....
Не стал...

А ядро 4й требует.. :-(

Может кто знает, как в /etc/make.conf указывать какую версию gcc юзать?.. Директиву какую?.. +4 за подсказку! )))
Так можно было-бы ее только для сборки ядра включить, а потом оставить дефолтную, 3ю назад..

а зачем 4я тебе? у меня 3.4.6 кажется стоит на всех серверах, все работает, ядра без проблем компилятся

У меня при компиляции даже GENERIC, вылазит:
"unrecognized command line option "-Wno-pointer-sign""
Погуглив понял, что у gcc 3.X - нет такой опции просто... :-(
Странно...

А так, в handbook прочел, что перед апдейтом ядра на FreeBSD нуно сделать #make buildworld

freebsd.org/doc/en_US.ISO8859-1/books/handbook/makeworld.html писал:

On FreeBSD it is important to build world before building a new kernel.

Мож поможет...

Как я писал, попроси знающего админа сделать или у тебя увлекают занятие садомазахизмом?

p.s.
Ядро FreeBSD 6.2 без проблем собирается с gcc 3.x...

xreload писал:

Как я писал, попроси знающего админа сделать или у тебя увлекают занятие садомазахизмом?

Меня увлекает мысль, чтоб только я имел доступ к серваку... Уж совсем мне не хочется светить свои скрипты и базы левым людям... Разве-что админ все будет при мне делать в реале )))
* В добросовестность незнакомых мне людей - я не верю.. К сожалению.. :(

xreload писал:

p.s. Ядро FreeBSD 6.2 без проблем собирается с gcc 3.x...

Значит будем капать.. ))))
Как-никак опыт и обучение )))

Dantist писал:

Меня увлекает мысль, чтоб только я имел доступ к серваку... Уж совсем мне не хочется светить свои скрипты и базы левым людям... Разве-что админ все будет при мне делать в реале ))) * В добросовестность незнакомых мне людей - я не верю.. К сожалению..

А у тебя сервер что в собственном ДЦ стоит ?Поверь мне, если левые люди захотят, то они посмотрят и так

Ну капай, как говорится хозяин - барин.

xreload писал:

А у тебя сервер что в собственном ДЦ стоит ?Поверь мне, если левые люди захотят, то они посмотрят и так :)

ДЦ авторитетное ))) ДЦ - доверяю ))))

xreload писал:

Ну капай, как говорится хозяин - барин.

Помогай, помогай ))))
"unrecognized command line option "-Wno-pointer-sign""
При компиляции ядра никогда не встречал?.. )

стучи, может чем и помогу.

http://www.bsdforums.org/forums/showthread.php?t=50786
попробуй сорсы обновить заново

Вроде умные люди тут,а до сих пор используют каменный век типа натд и ипфв... Брр

хм, а что ж еще использовать то? %)