https://www.opennet.ru/openforum/vsluhforumID1/89904.html Опять нужна помошь!<br>Вначале объясню как должно быть и как идут пакеты.<br><br>На шлюзе есть 4 сетевых интерфейса<br>1) VPN1 (tap0)<br>2) VPN2 (tap1)<br>3) Провайдер (rl0)<br>4) Смотрящий на циску (rl1)<br><br>На VPN 1 сервере стоит заворот 80 порта на впн и он приходит на tap0<br>Надо что бы оттуда он натился и редиректился на rl1 на циску (на циске он форвардит на 80 порт сервера)<br>Потом когда сервер ответил он шлет пакет на циску, а циска в свою очередь отдает rl1 на шлюзе.<br>А вот с rl1 надо что бы трафик именно пришедший с пометкой что он от 80 порта шел на tap0.<br>Если же трафик от сервера идет не от 80 порта. а просто в инет сервер леезет то надо что бы он шел через rl0 (тоесть провайдера)<br>Тоесть надо что бы ответы пришедшие от серверов за циской 21 80 110 25 шли именно на tap0<br>А остальное через rl0.<br>Так-же надо сделать так что бы при падении первого VPN отвечал он в tap1.<br><br><br>Решил все сделать natd + ipfw<br>OS Freebsd<br>Клиенты openvpn<br><br>Помогите решить задачу.<br><br>Начал набрасывать ipfw и застопоорилсяю.<br>Подправте чт https://www.opennet.ru/openforum/vsluhforumID1/89904.html#31 Thu, 30 Sep 2010 09:35:24 GMT &gt; Тоесть я понимаю что правило будет типа того<br>&gt; ${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос<br>&gt; ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ<br><br>если эти оба правила касаются одной сессии, то я не понимаю, как это может быть;<br>IMHO, тогда должно быть что-то вроде<br>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 to any 80 # Запрос<br>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any # Ответ<br>ну, или наоборот,<br>${FwCMD} add fwd ${ciscogate} tcp from 192.168.137.1 80 to any # Запрос<br>${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # Ответ<br>, но тогда я совсем ничего не понимаю<br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#30 Wed, 29 Sep 2010 10:19:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # <br>&gt;&gt;&gt;&gt;WWW <br>&gt;&gt;&gt; это понял, это получаеться сервер будет отвечать в ВПН?<br>&gt;&gt;&gt; А остальной трафик пойдет через провайдера?<br>&gt;&gt; неплохо бы определиться, что требуется, от этого и плясать;<br>&gt;&gt; а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю;<br>&gt;&gt; мне ближе 'мне надо чтобы'<br>&gt; Я же вверху писал что надо!<br>&gt; Надо что бы ответ сервера за циской шел на впн а не<br>&gt; на дефол гатевей.<br><br>считай, что верха у меня нет, там слишком много информации для того, чтобы вычленить связанную именно с этим нюансом<br>и вместо "это получаеться сервер будет отвечать в ВПН?"<br>лучше было бы что-то вроде "это получается сервер будет отвечать в ВПН? меня это не устраивает потому-то-потому-то, в соответствии с тем, что я написал выше"<br>или просто "это получаеться сервер будет отвечать в ВПН? мне это не подходит"<br>или, наоборот, "это получается сервер будет отвечать в ВПН? вроде то, что мне надо"<br>на худой конец<br>P.S. если хо https://www.opennet.ru/openforum/vsluhforumID1/89904.html#29 Tue, 28 Sep 2010 11:33:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;вместо <br>&gt;&gt;&gt;${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # <br>&gt;&gt;&gt;WWW <br>&gt;&gt; это понял, это получаеться сервер будет отвечать в ВПН?<br>&gt;&gt; А остальной трафик пойдет через провайдера?<br>&gt; неплохо бы определиться, что требуется, от этого и плясать;<br>&gt; а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю;<br>&gt; мне ближе 'мне надо чтобы'<br><br>Я же вверху писал что надо!<br>Надо что бы ответ сервера за циской шел на впн а не на дефол гатевей.<br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#28 Tue, 28 Sep 2010 08:54:07 GMT &gt;&gt;&gt; НАРОД ну хоть убейте<br>&gt;&gt;&gt; ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ<br>&gt;&gt;&gt; Не работает!<br>&gt;&gt; Ядро, надеюсь, со строчками<br>&gt;&gt; options IPFIREWALL<br>&gt;&gt; options IPFIREWALL_FORWARD<br>&gt;&gt; собрано?<br>&gt;&gt; Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет,<br>&gt;&gt; хоть тресни.<br>&gt; Да я ядро собранно нормально.<br><br>1. Анализируем правила файрволла, проверяем чтобы пакет достигал правила. Уточняем, что счетчик пакетов правила - действительно увеличивается.<br>2. Анализируем трафик на интерфейсах. На интерфейсе, где должен быть пакет, и на интерфейсе, где мог бы быть пакет при отсутствии правила форварда (маршрутизация по таблице маршрутизации/дефолтному маршруту)<br><br><br>3. Может быть стоит использовать FIB ?<br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#27 Tue, 28 Sep 2010 08:17:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;для проброса соединения соединения надо указывать только порт назначения <br>&gt;&gt;<br>&gt;&gt;например, должно быть <br>&gt;&gt;${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 to any 80 # WWW <br>&gt;&gt;<br>&gt;&gt;вместо <br>&gt;&gt;${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.0/24 80 to any 80 # <br>&gt;&gt;WWW <br>&gt; это понял, это получаеться сервер будет отвечать в ВПН?<br>&gt; А остальной трафик пойдет через провайдера?<br><br>неплохо бы определиться, что требуется, от этого и плясать;<br>а то смысл фраз, начинающихся с 'это получается', я не совсем понимаю;<br>мне ближе 'мне надо чтобы'<br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#26 Tue, 28 Sep 2010 08:07:53 GMT ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ <br><br><br>Так то все верно<br>Все что пришло от 192.168.11.10 с порта 80 куда угодно форвардить на ${vpn1gate}<br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#25 Tue, 28 Sep 2010 08:06:42 GMT &gt;&gt;&gt; ну почему по вашему тут ответ должен быть на 80 порт? с <br>&gt;&gt; Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем<br>&gt;&gt; и внешнем интерфейсах.<br>&gt; Откройте для себя волшебный мир тцпдампа в скрине, сплитованном пополам.<br><br>Открыл и вижу что форфард не срабатывает, пытаеться отдать пакеты через шлюз провайдера.<br>А должен валить в впн.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#24 Tue, 28 Sep 2010 08:06:02 GMT &gt;&gt; НАРОД ну хоть убейте<br>&gt;&gt; ${FwCMD} add fwd ${vpn1gate} tcp from 192.168.11.10 80 to any # Ответ<br>&gt;&gt; Не работает!<br>&gt; Ядро, надеюсь, со строчками<br>&gt; options IPFIREWALL<br>&gt; options IPFIREWALL_FORWARD<br>&gt; собрано?<br>&gt; Тот ипфв, который из модуля в генерик подгружается, он форвардить не умеет,<br>&gt; хоть тресни.<br><br>Да я ядро собранно нормально.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/89904.html#23 Tue, 28 Sep 2010 00:38:54 GMT &gt;&gt; ну почему по вашему тут ответ должен быть на 80 порт? с <br>&gt; Топикстартеру: откройте для себя волшебный мир tcpdump в двух консолях, на внутреннем<br>&gt; и внешнем интерфейсах.<br><br>Откройте для себя волшебный мир тцпдампа в скрине, сплитованном пополам. <br>