Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» FreeBSD + ipfw + tee + NeTAMS = :-(

Автор: BattleTank
Дата сообщения: 04.01.2006 09:34
Господа админы, подскажите...

Внедряю на своей Фрюхе NeTAMS для учета траффика. Поскольку фрюха держит целый зоопарк из подсетей (боевые ИП, локалка, VPN) - то для направления пакетов на NeeTAMS попытался использовать перенаправление из ipfw.

Причем, поскольку пока интересует только статистика - использую не divert, а tee, вот так:

...
ipfw add tee ${netams_tee_port} ip from ${real_ips}:${real_mask} to not table\(0\)
ipfw add tee ${netams_tee_port} ip from ${lan_ips}:${lan_mask} to not table\(0\)
ipfw add tee ${netams_tee_port} ip from not table \(0\) to ${real_ips}:${real_mask}
ipfw add tee ${netams_tee_port} ip from not table\(0\) to ${lan_ips}:${lan_mask}
...

Здесь table(0) - таблица, содержащая диапазоны боевых и ЛАНовских ИП, т.е. все, что считаем не-инетом.

Все вроде как заработало, но теперь - внимание, грабли!

почему-то при этом отказали клиентские VPN, соединяющиеся из инета на MS ISA, стоящий за фрюхой. Проходит коннект, начинается проверка имени-пароля - и далее или бесконечное ожидание, или отвал по таймауту.

Думал, что это NeTAMS так загрузил бедную фрюху. Ради проверки поставил NeTAMS в режиме LibPcap - проблема исчезла...

Никто не наступал на подобные грабли?
Автор: BattleTank
Дата сообщения: 06.01.2006 10:19
Разобрался!

Итак, кому интересно...

Устойчиво проявляется в следующий случаях:
1. Firewall на базе FreeBSD (5.4)
2. За ним - Microsoft'овский сервер VPN (MS ISA 2000 и 2004)
3. На Firewall'е - NeTAMS (3.3.0 из портов), получающий данные из ipfw через tee (через libpcap - бага не проявляется).

Итак, если в этом случае на NeTAMS попадают пакеты протокола GRE (используется в процедуре авторизации) - то VPN-соединение замирает на этапе "Verifying username and password".


"В лоб" решается как замена строчек в ipfw:

ipfw add tee ${netams_tee_port} ip from ${inet} to ${real_ips}:${real_mask}
ipfw add tee ${netams_tee_port} ip from ${real_ips}:${real_mask} to ${inet}

на

ipfw add tee ${netams_tee_port} not gre from ${inet} to ${real_ips}:${real_mask}
ipfw add tee ${netams_tee_port} not gre from ${real_ips}:${real_mask} to ${inet}

Братья-админы, примите к сведению!

Автор: slech
Дата сообщения: 08.12.2006 18:30
А у меня проблема с настройкой WebAdminTools
тут ссылочка есть про настройку апача, тока у меня никак не выходит.

Страницы: 1

Предыдущая тема: Каждый час теряется соединение со шлюзом

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.