Небольшие вопросы по поводу сетей и инета

[Catar]

Доброго всем. Собственно, к делу.
Есть канал в инет (локалка, через VPN поднимается инет). Есть 2 машины, которые этот инет имеют желание получать. На одной Фря, на другой DragonFly. Есть 3 машина, на которою как раз хочется поставить какую-нибудь BSD и заставить расшаривать инет, оставив постоянно включенной. То бишь одной сетевушкой - в мир, другой - в мою сеть к свитчу, который раздает ip по dhcp.
Вопросы:
1)Какую BSD водрузить на эту 3ю машину, если хочется а) много безопасности и б) иметь учет траффика; в) иметь возможность удаленных логинов с 2 других машин на эту (включая root) .
2) Какие конфиги, маны курить для настройки всего это.

[soko1]

Доброго всем. Собственно, к делу.
Есть канал в инет (локалка, через VPN поднимается инет). Есть 2 машины, которые этот инет имеют желание получать. На одной Фря, на другой DragonFly. Есть 3 машина, на которою как раз хочется поставить какую-нибудь BSD и заставить расшаривать инет, оставив постоянно включенной. То бишь одной сетевушкой - в мир, другой - в мою сеть к свитчу, который раздает ip по dhcp.
Вопросы:
1)Какую BSD водрузить на эту 3ю машину, если хочется а) много безопасности и б) иметь учет траффика; в) иметь возможность удаленных логинов с 2 других машин на эту (включая root) .
2) Какие конфиги, маны курить для настройки всего это.

1)По-моему любая BSD-ОСь пойдет для этого дела. Хотя, если хочется полностью забыть про обновления во имя безопасности - ставте OpenBSD.
2)man mpd, man route, man sshd, man ifconfig. Для трафика можно использовать trafd.

[Catar]

Ну OpenBSD тоже обновляется . Хотя конечно 1 критическая уязвимость в стандартном инстале за сколько-то там лет - это впечатляет.
Еще будут советы - пишите.

[soko1]

Хотя конечно 1 критическая уязвимость в стандартном инстале за сколько-то там лет - это впечатляет.

Всмысле? В их инсталяторе install, который на sh написан? Или я что-то не так понял?

[Catar]

Я криво выразился.... при установке всего по дефолту ( те дырявость зависит только от осеписателей и ни от кого другого), была одна дырка за несколько лет.

[Catar]

Решил использовать Freebsd - имхо удобнее настраивается.
Вот чего получилось
Есть машинка -шлюз, на ней 2 сетевушки, vr0 и vr1. 0 смотрит в мою собственно локалку, 1 в локалку провайдера. firewall для начала open (потом буду с правилами разбираться), natd на vr1, все работает.
Теперь поднимаю инет через mpd. Соответственно с шлюза доступна и локалка, и инет. С клиентов не доступно ничего, даже шлюз. Отрубаю mpd - вновь идут пинги до шлюза и до локалки прова.
Соответственно 2 вопроса:
1) как сделать чтобы при подрубании mpd работала и внешняя локалка.
2) как поднять 2ой natd на ng0 чтобы расшаривать инет.

Если какие конфиги нужны будут - пишите, выложу.

[soko1]

С клиентов не доступно ничего, даже шлюз.

Вот это странно. Покажи mpd.conf.

1) как сделать чтобы при подрубании mpd работала и внешняя локалка.

Для начала конфиг...

2) как поднять 2ой natd на ng0 чтобы расшаривать инет.

А это зависит от фаерволла, который будет использоваться. Очень советую pf. Завтра вышлю приблизительные правила.
И еще, расшарить инет надо полностью, или с какими нибудь ограничениями?

[Catar]

для начала - полностью, позже я сам разберусь чего резать....
mpd.conf
default:
load vpn

vpn:
new -i ng0 vpn vpn
set iface disable on-demand

set iface idle 0
set iface up-script /usr/local/etc/mpd/io-up.sh
set iface down-script /usr/local/etc/mpd/io-down.sh
set iface route default
set bundle disable multilink
set bundle authname "*****"
set bundle password "*****"
set link yes acfcomp protocomp
set link disable chap pap
set link accept chap pap

set link enable no-orig-auth
set link keep-alive 10 75

set ipcp yes vjcomp
set ipcp enable req-pri-dns req-sec-dns
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
set ipcp dns 10.6.0.1

set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e128
set bundle enable crypt-reqd
set ccp yes mpp-stateless
open


-------------------------
io-up.sh
--------

#!/bin/sh
vpn_ip=vpn.itns.local
ip_def_gw="10.6.2.254"
/sbin/route delete $vpn_ip
/sbin/route add $vpn_ip $ip_def_gw
/sbin/route delete default
/sbin/route add default -interface ng0
---------------------------------------
io-down.sh
---------------
#!/bin/sh
vpn_ip=vpn.itns.local
ip_def_gw="10.6.2.254"
/sbin/route delete default
/sbin/route add default $ip_def_gw
/sbin/route delete $vpn_ip
---------------------------

их я просто по доке делал....

фаер -да, хотелось бы через pf

[soko1]

фаер -да, хотелось бы через pf

с натом без проблем! держи pf.conf:

Код: Выделить всё

table <lan> { XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX } # айпишники которым разрешаешь доступ
table <myinet> { XXX.XXX.XXX.XXX, XXX.XXX.XXX.XXX } # айпишники которые даем юзать пользователям (из внешнего мира)
nat pass on vr1 inet proto { tcp, udp, icmp } from <lan> to <myinet> -> (vr1)
pass on vr0 all

потом делаешь:
#pfctl -e
#pfctl -f /etc/pf.conf
а вот насчет mpd прости, в нем я не силен. сам помню мучался. но подумаю, может что и придет в голову. ошибок кажись у тебя в конфиге нет...

[Catar]

это будет нат с локалки прова на мою локалку и обратно...
а на ng0 как поднять?

Да, и надо пересобирать ядро с IPFIREWALL там.. или это к ipfw относится?

[soko1]

это будет нат с локалки прова на мою локалку и обратно...
а на ng0 как поднять?

всмысле? может я чтото не так понял. нужно дать юзверям в твоей подсетки инет, который у провайдера. так?

Да, и надо пересобирать ядро с IPFIREWALL там.. или это к ipfw относится?

Нее, то что ты назвал - это два разных фаерволла. первый - ipf (модификация pf), второй - ipfw. а нам нужен pf. для этого в конф ядра: device pf. либо вообще не пересобирай - он автоматом модули подгрузит.

[Catar]

нужно дать 2 вещи.
1 это сетка провайдера - и ты это описал выше.
а собственно инет дается через vpn. Я его поднимаю, используя mpd, и дается он через виртуальный девайс ng0. Наверное надо написать еще одни правила, и подгружать\выгружать их по мере того как mpd поднимается/падает....

[soko1]

нужно дать 2 вещи.
1 это сетка провайдера - и ты это описал выше.
а собственно инет дается через vpn. Я его поднимаю, используя mpd, и дается он через виртуальный девайс ng0. Наверное надо написать еще одни правила, и подгружать\выгружать их по мере того как mpd поднимается/падает....

тоесть ты хочешь на своем роутере поднять vpn-сервак и через него юзвери будут входить и юзать инет? или, как ты сказал, вируальный девайс, а через него натить инет?

[Catar]

я подключаюсь к vpn серваку провайдера через mpd (пров так инет раздает). И мне надо натить это подключение (ng0).

[soko1]

я подключаюсь к vpn серваку провайдера через mpd (пров так инет раздает). И мне надо натить это подключение (ng0).

Ну так тогда я все правильно тебе написал. ng0 - внутренный, а ng1 - внешний, на котором модем висит.

[Catar]

какой модем? Там просто туннель насколько я понимаю....
и как тогда менять правила?

[soko1]

какой модем? Там просто туннель насколько я понимаю....
и как тогда менять правила?

что-то я запутался страшно. получается что внешний интерфейс у тебя смотрит не во внешний мир, а в сетку провайдера. так? а ты хочешь создать впн-соединение и натить для пользователей в твоей сетке. я правильно понял все?

[Catar]

vr0 - смотрит в мою локалку.
vr1 - в локалку провайдера.
mpd создает vpn-коннект с серваком прова, который находится в его локалке.
Создается туннель ng0.
Надо натить vr1; а когда подгружается mpd, и ng0 тоже. Когда падает -прекращать нат на ng0. Нат на vr1 перманентен.

[soko1]

2 Catar, ты мой конфиг pf'а пробовал? Вроде ж все правильно! Если у тебя соедиение конечно происходит.

[Catar]

еще нет.... но судя даже по конфигу он натит только vr1...

[soko1]

еще нет.... но судя даже по конфигу он натит только vr1...

прости за мои тормоза конечно)) тебе еще нужно чтобы с локалки провайдера видели вашу локалку? просто если это не надо - правила будут работать.

[Catar]

неа, не работает... даже локалка провайдера не видна....
в lan записал 192.168.0.2 (адрес одной из моих машинок)
в myinet прописал 10.6.2.13 (мой ip в локалке провайдера)
и нифига. Пинги от роутера до локалки провайдера идут, от клиента до роутера тоже. От клиента до локалки провайдера не идут, причем не пишется что пинги потеряны.

[soko1]

неа, не работает... даже локалка провайдера не видна....
в lan записал 192.168.0.2 (адрес одной из моих машинок)
в myinet прописал 10.6.2.13 (мой ip в локалке провайдера)
и нифига. Пинги от роутера до локалки провайдера идут, от клиента до роутера тоже. От клиента до локалки провайдера не идут, причем не пишется что пинги потеряны.

Попробуй без ограничений:

Код: Выделить всё

nat pass on vr1 inet proto { tcp, udp, icmp } from all to all -> (vr1)
pass on vr0 all

[Catar]

только from any to any тогда уж..
я все сделал.
полученный конфиг натит локалку, а еще сделал правила
/etc/pf2.conf

nat pass on ng0 inet proto { tcp, udp, icmp } from any to any -> (ng0)
pass on vr0 all

и прописал в /usr/local/etc/mpd/io-up.sh
/sbin/pfctl -f /etc/pf2.conf

/usr/local/etc/mpd/io-down.sh:
/sbin/pfctl -f /etc/pf.conf

[h0RN]

Делал все тоже самое, но чего-то не пашет ни сеть, ни инет.
Моя конфигурация сети в этом топике.
Мои конфиги:
/etc/pf.conf:

Код: Выделить всё

nat pass on rl0 inet proto { tcp, udp, icmp } from any to any -> (rl0)
pass on rl1 all

/etc/pf2.conf:

Код: Выделить всё

nat pass on ng0 inet proto { tcp, udp, icmp } from any to any -> (ng0)
pass on rl1 all

Добавил в ядро строчку:

Код: Выделить всё

device pf

[h0RN]

Забыл добавить gateway_enable="YES" в /etc/rc.conf Щас все ок.