Настройка серверной части VPN.. (Роутинг траффика)

Pentarh писал:

Вроде умные люди тут,а до сих пор используют каменный век типа натд и ипфв... Брр

Бро, ну самое главное что работает стабильно, а то что вариантов есть больше, так некто и не спорит

color писал:

хм, а что ж еще использовать то? %)

ipfilter, ipnat уровня ядра

color писал:

хм, а что ж еще использовать то? %)

ipfilter, ipnat уровня ядра

Там в ipnat одна строка конфигурации нужна. И она заменит всю эту поебень с натд,ипфв и прочими инструментами мозахистов из 4й фри. и ничего перекомпилировать не нужно

сейчас посмотрел - у меня таки тоже через ipnat оказывается настроено. склероз действительно одна строка.
а через ipfw китайцев баню обычно

xreload писал:

стучи, может чем и помогу.

Если сейчас ничего не получится - то отдышусь и начну стучаться ))))

color писал:

http://www.bsdforums.org/forums/showthread.php?t=50786 попробуй сорсы обновить заново

Я именно из этого топика подумал, что gcc4.2 спасет отца русской демократии ))) Ну ладно, сейчас действительно следую последнему совету - и переливаю с чистого листа сорцы с cvsup...

Pentarh писал:

Там в ipnat одна строка конфигурации нужна. И она заменит всю эту поебень с натд,ипфв и прочими инструментами мозахистов из 4й фри. и ничего перекомпилировать не нужно

Таак... Приехали... ))) Я уже на новом серваке админам ДЦ сказал, чтоб ядро пересобрали со "всей этой поебенью" )))))))))))
Давай, рассказывай, чем заменить вот это:

Код:

В /etc/rc.conf: firewall_enable="YES" firewall_type="/etc/firewall.rc" natd_enable="YES" natd_flags="-a {IP сервака}" gateway_enable="YES" В /etc/firewall.rc: -f flush add pass all from any to any via lo0 add deny all from 127.0.0.1 to any add deny all from any to 127.0.0.1 add divert natd all from 10.8.0.0/24 to any out via bge0 add divert natd all from any to {IP сервака} in via bge0 /etc/rc.d/ipfw start

Рейтинга накинул )))

в /etc/rc.conf:
ipnat_enable="YES"
ipnat_program="/sbin/ipnat"
ipnat_rules="/etc/ipnat.rules"

в /etc/ipnat.rules:
map fxp0 111.222.333.444 -> 555.666.777.888

где fxp0 - сетевая карта, 111.222.333.444 - серый IP, 555.666.777.888 - белый IP

или даже так должно работать тоже:
map fxp0 192.168.0.0/24 -> fxp0/32 portmap tcp/udp 10000:20000

color писал:

в /etc/rc.conf: ipnat_enable="YES" ipnat_program="/sbin/ipnat" ipnat_rules="/etc/ipnat.rules" в /etc/ipnat.rules: map fxp0 111.222.333.444 -> 555.666.777.888 где fxp0 - сетевая карта, 111.222.333.444 - серый IP, 555.666.777.888 - белый IP

Ща попробую.....

* P.S. даже buildkernel для GENERIC по новозалитым сорцам дает

Код:

cc1: error: unrecognized command line option "-Wno-pointer-sign"

Забил на это :)

Млин...
В опеннете прочел по поводу ipnat:

Цитата:

В ядре нам понадобятся всего 2 строчки: options IPFILTER options IPFILTER_LOG

Так таки надо пересобирать ядро?...

color писал:

в /etc/ipnat.rules: map fxp0 111.222.333.444 -> 555.666.777.888 где fxp0 - сетевая карта, 111.222.333.444 - серый IP, 555.666.777.888 - белый IP

на самом деле строчек надо 3, именно в таком порядке

map fxp0 111.222.333.444 -> 555.666.777.888 proxy port 21 ftp/tcp
map fxp0 111.222.333.444 -> 555.666.777.888 portmap tcp/udp auto
map fxp0 111.222.333.444 -> 555.666.777.888

Dantist писал:

Так таки надо пересобирать ядро?...

ipfilter есть в дефолтном ядре модулем, так что пересобирать не нужно

Pentarh писал:

ipfilter, ipnat уровня ядра

согласен ipnat в данном случае должен справиться.

p.s. я бы не рекомендовал бы его все равно.
может за несколько лет и улучшилась ситуация с ipnat.
но когда я его в последний раз пытался использовать были проблемы. к примеру, из опыта, если 2 машины за ipnat'ом попробуют установить pptp соединение в одну точку то работать корректно не хотело, хотя на pf данной проблемы не наблюдалось

Чувак, опомнись, тебе совершенно нет необходимости пересобирать ядро!
В 6 ветке FreeBSD вся эта радость (ipfw, nat) загружается модулями, поэтому достаточно прописать нужные строчки в rc.conf и в rc.firewall и ребутнуть сервер и всё будет работать (можно и без ребута, но это сложнее и не так надежно, я бы ребутнул).
Вот что нужно написать в файлах
rc.conf:

Код:

firewall_enable="YES" natd_enable="YES" natd_interface="{IP сервера}" natd_flags="-f /etc/natd.conf" gateway_enable="YES"

rc.firewall (прописываешь в конце файла, всё что там уже написано можно оставить):

Код:

ipfw add 65000 pass ip from any to any ipfw add 100 divert natd ip from 10.0.0.0/8 to any xmit bge0 ipfw add 100 divert natd ip from any to {IP сервера} recv bge0

natd.conf (это в принципе не обязательно, но у нас прописано, думаю на всякий случай лучше прописать):

Код:

unregistered_only yes same_ports yes use_sockets yes

IP сервера, как уже говорили, лучше взять свободный, где ничего другого нет, потому что если ты возьмешь IP по которому идет большой траф (ну хостятся сайты к примеру) то natd начнет дохера проца жрать вхолостую, переваривая всё это.