» Общие вопросы по FreeBSD

Funtik_Vintik

Цитата:

Думал что без него (как в winxp) пакеты из разных подсетей с одного интерфейса на другой ходить не будут

для этого у тебя в файле /etc/rc.conf должна быть строчка gateway_enable="YES"

Цитата:

(филиал-шлюз<-->шлюз-офис)

это ты о vpn-канале? для этого есть впн-серверы, например, mpd, которые автоматически создают нужные тебе маршруты при поднятии виртуального интерфейса

Добавлено:
Funtik_Vintik

Цитата:

А фаер настроен по примеру с lissysara.ru - можно только то что мне нужно.

а ссылочку на этот пример можно?

Сорри если где-то эта проблема уже освещалась
Есть роутер на FreeBSD, несколько дней подряд вижу в логах такие записи :

kernel log messages:
> icmp redirect from 92.114.223.148: 92.114.223.114 => 92.114.223.114
> icmp redirect from 92.114.223.148: 92.114.223.114 => 92.114.223.114
> icmp redirect from 92.114.223.148: 92.114.223.114 => 92.114.223.114

что это - попытка заддосить, скан портов или у кого-то на этих адресах сидит троянец ?
PS - 92.114.223.* - адреса не из моей сетки.

Terranus
http://www.lissyara.su/?id=1127&commented=1&print=1

А насчёт vpn: у нас по wimax через провайдера есть связь с филиалом (типа такой vlan внутри провайдерской сети). Т.е. сеть уже есть без всяких vpn. Но так не годится - нужно шифрование потока, а также чтобы потом другие филиалы друг друга ну никак не смогли бы увидеть. Такчто буду заводить mpd.

Добавлено:
Пытаюсь поставить SquidGuard. Пишет что нужен Berkeley. Но Фря-7. db41 уже стоит. чего ему надо ? инет перерыл так и не понял что делать кроме как качать с оракла. но зачем ?

Funtik_Vintik

Цитата:

Такчто буду заводить mpd.

между серверами лучше поднимать openvpn - посмотри в его сторону, там все просто. Ну и плюс не надо gre использовать

ребята, как gnome установить?
ставил freebsd последнюю версию, при установке выбрал ALL,
во всех книгах пишут, что должно появляться меню установки рабочего стола. У меня не появлялось. Сеячас только консоль. Можно ли сейчас установить?

Спасибо

mistx
http://www.lissyara.su/?id=1444
Вообще говоря тут KDE, но в плане установки и настройки, разницы нет.

не получается перебросить вход SSH из инета в шлюз(Вынь2k3+Kerio) на сервер Freebsd. Это вообще возможно ?

Funtik_Vintik
Не допонял вопроса.
Тебе что, нужно по SSH общаться из интернета с сервером FreeBSD, который стоит внутри сети локальной сети под управлением шлюза на основе Вынь2k3+Kerio?
Тогда тебе нужно прописать редирект порта на шлюзе (Kerio) с наружи на сервер FreeDSD.
Можно 22-й, а можно и другой указать.
Как это делается в Kerio, незнаю. Но это не тутошний вопрос.

gryu
спасибо. статья стоящая.
но уменя одна трабла, уменя версия новая 7.0 есть 3 диска
ну никак не могу найти на них kde.

Может кто-нибудьустанавливал новую версию, знает все тонкости?

mistx
Ну так если с диска ставить, это разумнее через sysinstall.
А он сам всё найдёт и зависимости отследит.
А порты, они на первом диске лежат.
Только их опять таки проще поставить через sysinstall.

Добавлено:
Гы...
Монтируешь сидишник, и распаковываешь /6.3-RELEASE/ports/ports.tgz (у тебя наверно 7.0-RELEASE)
это и есть коллекция портов.

tankistua

Цитата:

между серверами лучше поднимать openvpn

может быть, но только если серваки *никсовые. А если в филиалах (клинтах) стоит на шлюзе винда, либо клиентом является отдельный комп (на котором работает обычный пользователь, а посему на компе стоит понятная для этого пользователя винда), не завязанный с локалкой (имеется только доступ в инет)? Тут уж извините, но опенвпн не прокатит, т.к. винда понимает под впн либо l2tp, либо pptp

Цитата:

Ну и плюс не надо gre использовать

а кто заставляет использовать грешные пакеты? mpd предоставляет возможности работы и через tcp и через udp (ppp over tcp и ppp over udp соответственно), наконец есть pppoe.

gryu
спасибо буду пробывать

Terranus

Цитата:

может быть, но только если серваки *никсовые. А если в филиалах (клинтах) стоит на шлюзе винда, либо клиентом является отдельный комп (на котором работает обычный пользователь, а посему на компе стоит понятная для этого пользователя винда), не завязанный с локалкой (имеется только доступ в инет)? Тут уж извините, но опенвпн не прокатит, т.к. винда понимает под впн либо l2tp, либо pptp

да там все проще - tun-интерфейс надо проинсталить . Но конечно это все таки лучше для линукса использовать, под виндой корявенько получается.
з.ы. тема про фрюху, кстати :)


Цитата:

а кто заставляет использовать грешные пакеты? mpd предоставляет возможности работы и через tcp и через udp (ppp over tcp и ppp over udp соответственно), наконец есть pppoe.

вот это уже более интересно - сам делал ? дай конфиг :) у меня щас проблемка с хождение gre_пакетов по сетке gsm-ной, сижу ломаю колову как сделать впн в офис

Freebsd-7-Release. Скачал из 7-Stable Mpd-5.1. Поставил, настроил, завёл. Не подключает .
Клиент WinXP пишет Ошибку 651.


Код: /usr/local/etc/rc.d > mpd5
Multi-link PPP daemon for FreeBSD

process 4898 started, version 5.1 (root@freebsd.org 14:22 6-May-2008)
CONSOLE: listening on 127.0.0.1 5005
web: listening on 192.168.0.5 5006
[B1] Bundle: Interface ng0 created
Usage: set ipcp ranges {self}[/{width}]|ippool {pool} {peer}[/{width}]|ippool {pool}
PPTP: waiting for connection on 192.168.1.1 1723
[L1] [L1] Accepting PPTP connection
[L1] Link: OPEN event
[L1] LCP: Open event
[L1] LCP: state change Initial --> Starting
[L1] LCP: LayerStart
[L1] PPTP: attaching to peer's outgoing call
[L1] PPTP: can't attach pptpgre node: Invalid argument
[L1] PPTP call cancelled in state CONNECTING
[L1] Link: DOWN event
[L1] LCP: Down event
[L1] Link: reconnection attempt 1 in 4 seconds
[L1] Link: reconnection attempt 1
[L1] PPTP call failed
... и т.д.

А модуль ng_pptpgre.ko загружен?

kldstat
Id Refs Address Size Name
1 16 0xc0400000 82a020 kernel
2 1 0xc0c2b000 2354 accf_http.ko
3 1 0xc0c2e000 bb5c if_age.ko
4 1 0xc0c3a000 6921c acpi.ko
5 1 0xc928c000 4000 ng_socket.ko
6 6 0xc9290000 b000 netgraph.ko
7 1 0xc92c2000 4000 ng_mppc.ko
8 1 0xc92c6000 2000 rc4.ko
9 1 0xc92ca000 3000 ng_iface.ko
10 1 0xc92cd000 7000 ng_ppp.ko
11 1 0xc92fa000 3000 ng_tee.ko
12 1 0xc930a000 4000 ng_pptpgre.ko

Добавлено:
А к этой проблеме может быть причастна запись в messages:

Код: Jun 20 12:08:13 MyHostName kernel: WARNING: attempt to net_add_domain(netgraph) after domainfinalize()

Funtik_Vintik
ядро пересобирали ? с какими опциями?

Под нетграф не пересобирал. Хотел так проверить. Думал что если эта процедура нужна то mpd совсем не заработает. А ng0 создается же. Да и модули висят.

PS. А вообще пересобирал, чтоб IPFW встроить.

поставьте тройку


Добавлено:
mpd-3.18_5 Multi-link PPP daemon based on netgraph(4) [legacy version]

вот уже год работает - и кушать не просит.

Перекомпил. Не работает.
пишем дальше вот в эту тему.

Funtik_Vintik

Цитата:

[B1] Bundle: Interface ng0 created
Usage: set ipcp ranges {self}[/{width}]|ippool {pool} {peer}[/{width}]|ippool {pool}
PPTP: waiting for connection on 192.168.1.1 1723

здесь же все написано: команда set ipcp ranges задана неверно

Цитата:

set ipcp ranges 192.168.2.1/32

в данной строчке указывается какой айпи будет у принимающей стороны (сервера) и какой у звонящей (клиента). Причем данные ип не должны существовать где-либо в локальной сети, дабы не было конфликтов и коллизий. Поэтому данная строчка должна выглядеть, например, так (192.168.2.1 - сервер, 192.168.2.2 - клиент):
set ipcp ranges 192.168.2.1/32 192.168.2.2/32
Из-за этой ошибки получается, что для сервера адрес есть, а вот для клиента айпишника нет. Собственно поэтому mpd входящий "звонок" принимает, а дальше у него возникает дилема: либо подключать клиента до конца, но не знать как с ним общаться, либо отключить клиента и подождать пока админ приведет настройки сервера к надлежащему виду.

Terranus, спасибо за рекомендацию воспользоваться mpd. VPN туннель поднять удалось, а дальше проблеммы.
Не могу организовать NAT. Ситуация такая. У моей машины один сетевой интерфейс rl0 192.168.1.44. Поднимаю до провайдера VPN - ng0. И хочу что-бы через меня как через шлюз машины могли выходить в инет. На одной из машин. Шлюзом указан 192.168.1.44 но ничего не видно. ни пинги, ни барузер никуда не идут.
опции ядра:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100

options IPFIREWALL_FORWARD

options IPDIVERT
options DUMMYNET
options TCP_DROP_SYNFIN

#поддержка ppp
options NETGRAPH
options NETGRAPH_PPTPGRE
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_BPF

выдержка из rc.conf
firewall_enable="YES"
gateway_enable="YES"
natd_enable="YES"
natd_interface="ng0"
firewall_script="/etc/rc.firewall"
firewall_logging="YES"

#ipfw show
00100 26 2948 divert 8668 ip from any to any out via ng0
00200 4949 1312452 allow ip from any to any
00300 0 0 deny ip from any to any
65535 61 6755 deny ip from any to any

/#ps -aux | grep natd
root 3988 0,0 0,2 1400 872 ?? Ss 14:43 0:00,00 natd -n ng0
root 3990 0,0 0,2 1480 1080 p5 R+ 14:43 0:00,00 grep natd

#ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.1.44 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:80:48:24:0a:a2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1400
inet 81.25.40.54 --> 81.25.36.1 netmask 0xffffffff

что я делаю не так?

smiclek
есть к тебе несколько вопросов (и предложений):
1. не совсем понятно, как в рамках одной сетевухи с серым айпишником ты подключаешься к провайдеру? (или у тебя там есть каны?
2. для шлюза лучше иметь две сетевых карты, поэтому поставь вторую сетевуху, т.к. в этом случае будет меньше проблем с безопасностью
3. из показанного тобой не видно маршрутов (можно посмотреть командой netstat -nr)
4. также в файле rc.conf не наблюдается строчки
Цитата:

defaultrouter="xx.xx.xx.xx"

(хотя приминительно к твоему случаю наличие данной строчки вызывает сомнение)
5. если vpn-канал является шлюзовым (т.е. предоставляет доступ в инет), то в mpd.conf в описании vpn-канала должна присутствовать строчка
Цитата:

set iface route default

, которая говорит mpd, что через данное подключение нужно создать маршрут по-умолчанию, т.е. при обращении к любому айпи-адресу, отсутствующему в таблице системных (фришных) маршрутов, отправлять данный пакет по указанному vpn-каналу

P.S. надеюсь, что файервол ты в последствии закроешь, а то через твой шлюз будут всякие хацкеры лазить

Terranus

Цитата:

Usage: set ipcp ranges {self}[/{width}]|ippool {pool} {peer}[/{width}]|ippool {pool}

Я конфиги всякие пробовал. И с указанием диапазона вроде тоже.
НО. В mpd.conf был указан set auth authname, а в mpd.secret ему указан конкретный IP. Зачем тогда в ranges писать - не понятно.
На днях проверю ещё.

Цитата:

1. не совсем понятно, как в рамках одной сетевухи с серым айпишником ты подключаешься к провайдеру? (или у тебя там есть каны?
2. для шлюза лучше иметь две сетевых карты, поэтому поставь вторую сетевуху, т.к. в этом случае будет меньше проблем с безопасностью
3. из показанного тобой не видно маршрутов (можно посмотреть командой netstat -nr)
4. также в файле rc.conf не наблюдается строчки
Цитата:
defaultrouter="xx.xx.xx.xx"
(хотя приминительно к твоему случаю наличие данной строчки вызывает сомнение)
5. если vpn-канал является шлюзовым (т.е. предоставляет доступ в инет), то в mpd.conf в описании vpn-канала должна присутствовать строчка
Цитата:
set iface route default
, которая говорит mpd, что через данное подключение нужно создать маршрут по-умолчанию, т.е. при обращении к любому айпи-адресу, отсутствующему в таблице системных (фришных) маршрутов, отправлять данный пакет по указанному vpn-каналу

значит так.
дефаултроута у меня по умолчанию нет. сейчас я не могу показать как это выглядит на той машине. но описать могу. в сети есть адсл модем (в режиме роутера) с апишником 192.168.1.4. а у vpn сервера 81.25.32.67 и роут я добавляю такой. "route add 81.25.32.67 192.168.1.4" после чего
#mpd (он соденияется с 81.25.32.67)
который в свою очередь уже добавляет default 81.25.32.1
до тех пор пока я не добавляю правило divert с локальной машины всё отлично ходит, а вот когда добавляю, локально работает, но как-то через пень-колоду, а из сети через неё вообще никак не ходится т.е. данная машина не хочет роутить.


Цитата:

P.S. надеюсь, что файервол ты в последствии закроешь, а то через твой шлюз будут всякие хацкеры лазить

ессно. это так, полигон. основной на винде крутится.

smiclek
РБ? Белинфонет?

smiclek

Цитата:

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1400
inet 81.25.40.54 --> 81.25.36.1 netmask 0xffffffff

Цитата:

#mpd (он соденияется с 81.25.32.67) который в свою очередь уже добавляет default 81.25.32.1

вообще-то рулить с таким маршрутом действительно ничего не будет, т.к. айпи шлюза не 81.25.32.1, а 81.25.36.1

Цитата:

в сети есть адсл модем (в режиме роутера) с апишником 192.168.1.4. а у vpn сервера 81.25.32.67

Цитата:

это так, полигон. основной на винде крутится.

как же все запущено
лучше сделать по-другому:
1. на модеме вывесить другой ип, например, 192.168.2.4, и подключить его в отдельный хаб (если на адсл только один rj45-порт)
2. на "основной винде" вставить (если отсутствует) вторую сетевуху и назначить на нее ип, например, 192.168.2.5 и подключить ее к хабу из первого пункта (либо напрямую к адслу, если у него несколько rj45-портов).
3. вставить во фришку вторую сетевуху, и сделать с ней тоже, что и в пункте 2 с ип 192.168.2.6

Цитата:

00100 26 2948 divert 8668 ip from any to any out via ng0

4. еще раз посмотрел файервол: ключевое слово out является лишним, т.к. в нат должны попадать не только исходящие пакеты (где они переделываются во внешний белый ип), но и входящие (где идет обратная конвертация в серые внутренние ип). Поэтому либо убери это слово, либо добавь такое же правило с ключевым словом in (вместо out).



Добавлено:
и вообще, провайдер у тебя какой-то замороченный: на базе дсла еще и впн

Цитата:

Цитата:
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1400
inet 81.25.40.54 --> 81.25.36.1 netmask 0xffffffff


Цитата:
#mpd (он соденияется с 81.25.32.67) который в свою очередь уже добавляет default 81.25.32.1

вообще-то рулить с таким маршрутом действительно ничего не будет, т.к. айпи шлюза не 81.25.32.1, а 81.25.36.1

вот с этим я не уверен, т.к. писал по памяти. а шлюз прописывает сам mpd

Цитата:

лучше сделать по-другому:

это я понимаю. как надо сделать. но бывают ограничения накладываемые жизнью. если я смогу поднять шлюз при такой конфигурации. то с двумя сетевухами - думаю, будет не сложнее, если не проще. я тогда с сетевухи прямо в адсл модем воткнусь. но это чуть позже.
чуть позже попробую убрать "out".
спасибо.

keyhell, да он самый. минск.

smiclek
я на днях камрадам конфигурил pptp client на FreeBSD. я не закончил, ибо делалось вечером и банально не хватило времени.

но там все довольно примитивно. если я закончу на неделе, то могу дать конфиги pptp.

Добавлено:
Terranus
там у провайдера все через такую..., что вы бы разрыдались

keyhell, да спасибо.
но тут у меня вопрос не в этом, как я понимаю.
когда до офиса доеду - продолжу эксперименты.