информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRыАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Logitech готовится закрыть очередную... 
 Серьёзная атака на инфраструктуру... 
 Microsoft призналась в сознательном... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Подозреваю роутинг на серваке. 06.03.08 17:07  Число просмотров: 2727
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Результаты Нетстата:

Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.0.5 UGS 0 2374 rl0
10.10.8/22 192.168.253.81 UGS 0 127 tun0
10.73.227/24 192.168.253.81 UGS 0 0 tun0
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.0 link#1 UC 0 0 rl0
192.168.0.5 00:30:4f:59:66:99 UHLW 2 0 rl0 752
192.168.2 192.168.253.81 UGS 0 0 tun0
192.168.3 192.168.253.81 UGS 0 0 tun0
192.168.4 192.168.253.81 UGS 0 0 tun0
192.168.5 192.168.253.81 UGS 0 0 tun0
192.168.6 192.168.253.81 UGS 0 0 tun0
192.168.7 192.168.253.81 UGS 0 0 tun0
192.168.8 link#2 UC 0 0 rl1
192.168.8.15 00:1d:60:06:f8:24 UHLW 1 642 rl1 755
192.168.8.71 00:1d:60:f8:ac:24 UHLW 1 216 rl1 1124
192.168.8.219 00:1d:60:7f:f9:7c UHLW 1 79 rl1 757
192.168.8.240 00:1d:60:cc:30:66 UHLW 1 48 rl1 757
192.168.253 192.168.253.81 UGS 0 0 tun0
192.168.253.81 192.168.253.82 UH 9 0 tun0

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
ff01:4::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
<networking>
FreeBSD 6.2, OpenVPN и мои кривые руки. :( 03.03.08 12:59   [Den]
Автор: Lurga Статус: Elderman
Отредактировано 03.03.08 13:35  Количество правок: 1
<"чистая" ссылка>
Есть сервер под ФриБСД 6.2. На нём НАТ и ОупенВПН, причём наши сетки (например, 10.10.8.0/22), на которые идёт роутинг, замечательно видны с сервера, но из локалки не пингуется (выдаётся сообщение "Превышен интервал ожидания для запроса").

client.conf выглядит следующим образом:

client
nobind
proto udp
remote vpn.domain.com 1194
dev tun
comp-lzo
ca /etc/openvpn/ca.crt
cert /etc/openvpn/dnepr.crt
keepalive 10 60
persist-key
persist-tun

А это из rc.conf:

#--- OpenVPN ---
openvpn_enable="YES"
openvpn_if="tun"
openvpn_flags=""
openvpn_configfile="/etc/openvpn/client.conf

В девайсах присутствует нечто под названием tun0. Попытки заменить tun на tun0 в вышеприведённых файлах ничего не дают -- с сервера всё пингуется, из локалки -- нет.


ipwf show:

00050 32524 26782700 divert 8668 ip4 from any to any via rl0
00100 0 0 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 65074 53498806 allow ip from any to any
65100 0 0 allow ip from any to any via tun0
65535 0 0 deny ip from any to any



ifconfig:

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MILTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.125 netmask 0xffffff00 broadcast 192.168.0.255 // это подключено к ДСЛ
ether 00:0e:2e:a5:71:f2
media: Ethernet autoselect (100baseTX <full duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MILTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.8.5 netmask 0xffffff00 broadcast 192.168.8.255 // это смотрит в локалку
ether 00:19:E0:14:91:73
media: Ethernet autoselect (100baseTX <full duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDGIA NT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST>mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 192.168.253.82 --> 192.168.253.81 netmask 0xffffffff
Opened by PID 841


Запуск во Фри команды
route add -net 10.10.10.0/22 192.168.253.82 netmask 255.255.255.0
ничего не дают...
Блин. 09.03.08 16:13  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Оказалось, что с моей стороны всё ОК. Московский админ не добавил правила маршрутизации для моей сетки. :(
Ядро пересобирал? 07.03.08 17:35  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Опции IPFIREWALL и IPDIVERT при сборке включал?
Что показывает sysctl net.inet.ip.forwarding ?
это делать обязательно, иначе траффик к сетке пойдет на... 03.03.08 15:11  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
>Запуск во Фри команды
>route add -net 10.10.10.0/22 192.168.253.82 netmask255.255.255.0
это делать обязательно, иначе траффик к сетке пойдет на дефот шлюз и до удаленной сети не дойдет.

еще нужно проверить заворачиваются ли пакеты из локалки к удаленной сетке в туннель
на компах поставить пинг, а на сервере tcpdump -i tun0 -n proto ICMP
аналогичную проверку сделать на втором конце
Разрулил. :) 03.03.08 17:32  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
ipfw add 1 allow tcp from 192.168.8.0/24 to 10.10.8.0/22 via tun0
ipfw add 2 allow tcp from 10.10.8.0/22 to 192.168.8.0/24 via tun0

И так далее. Какой бы ещё добрый человек дал путную доку по написанию скриптов, чтоб эти рулезы грузились автоматом...
Для начала лучше так: 07.03.08 17:29  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
ipfw add allow ip from any to any via tun0
ipfw add allow icmp from any to any via tun0
тогда уж ipfw add allow ip from any to any via any чтобы исключить fw вообще 07.03.08 20:19  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Если есть уверенность в прове, то м.б. - для чистоты эксперимента. 07.03.08 20:24  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
так надо ж проверить в чём бока на доступе к внешним ресурсам - и в данной ситуации я сильно подозреваю fw 07.03.08 20:41  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
ага, проморгал... 03.03.08 18:06  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
... что дефолтовая политика в deny стоит
> И так далее. Какой бы ещё добрый человек дал путную доку по
> написанию скриптов, чтоб эти рулезы грузились автоматом...
самый просто метод - запихнуть все в/etc/rc.local (если нет его, создать)
а если делать "по науке", то нужно в /etc/rc.conf установить
firewall_enable="YES"
firewall_type="MY"
natd_enable="YES"
natd_interface="<interface>"
а в файле /etc/rc.firewall по аналогии с примерами создать свой тип описания параметров файрвола под именем MY
Спасибо. Завтра отпишусь, что ещё поломал... 03.03.08 19:21  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Итак... 05.03.08 18:15  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Как оказалось, радовался я рано. :( Пинги из локалки ходят только на одну сетку (второй офис в городе). Всё остальное пингуется только с сервера.
Совершенно справедливо если нат поднят только для туннеля 05.03.08 18:54  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 05.03.08 18:54  Количество правок: 2
<"чистая" ссылка>
И как с этим бороться? 05.03.08 19:32  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
echo natd_interface=rl1>> /etc/rc.conf 06.03.08 09:27  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 06.03.08 13:06  Количество правок: 2
<"чистая" ссылка>
И добавить маршрут в затуннельную сетку (10.10.8.0/22) на серваке через tun0, а также обратный маршрут в приватную сетку (192.168.8.0/24).
Не ясно, зачем натить через туннель: в этом случае до приватной сетки из затуннельной не достучишься же
Не понятно, зачем нужен NAT в случае соединения двух сетей по VPN ! 07.03.08 17:35  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Чтобы вовне туннеля трафик шёл через локального прова 07.03.08 18:41  
Автор: Ustin <Ustin> Статус: Elderman
<"чистая" ссылка>
Логично... 07.03.08 18:52  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Указан natd_interface=rl0... 06.03.08 13:33  
Автор: Lurga Статус: Elderman
<"чистая" ссылка>
Правильно указан! Если именно этот if (rl0) смотрит на прова. 07.03.08 18:51  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach