» m0n0wall FireWall/Router

а не подскажите по поводу прикрутки статистики по пользователям и контент - фильтра
можно ли в нём установить из исходного кода?
ведь есть доступ к командной строке:

https://your-m0n0/exec.php

А эта прога не заменит микротик если поставить карточки вай-фай для раздачи ?
Д-линк-520 например..... Или с вай- фаем может работать токо микротик

ginger
Вопрос такого рода - этот фаер поддерживает аля DualAccess на РРТР?
Если да, то как это предварить в жизнь?

Смысл такой, есть провайдер (типа корбины),
у него внутренняя сеть 10.48.0.0/12 с гейтвеем 10.48.20.1 и ДХСП
в ней есть ДНСы (они же ВПН сервера) 192.168.0.0/23
Вот как сделать чтобы он целялся на РРТР (192.168.0.0/23) из 10.48.0.0/12 ?
Статик роуте через ВАН в 192.168.0.0/23 по гейтвею 10.48.20.1 не катят
В логах при старте РРТР - No route to host
Что куда прописывать?
Кстати, что есть локальный айп в настройках РРТР?

По РРРоЕ работает нормально, но нужен именно РРТР

вопрос
у провайдера есть локальная сеть и инет - подключение по PPPoE
вариант настроить 2 PPPoE ненашел, зделал так:
ADSL(Route local)-monowall-своя сеть, на monowall поднимаю инет PPPoE но как пропустить локалку до adsl ? и в догонку вопрос как зделать доступ до web ADSL из своей сети (само правило и куда его ?) ?

Electro2
На мой взгляд m0n0 в вашем случае лишнее звено, на ADSL-маршрутизаторе, для локальных ресурсов вам необходимо прописать маршрут по умолчанию, чтобы во время установленного PPPoE-соединения трафик к локальным ресурсам не шел через сеть интернет.

Цитата:

и в догонку вопрос как зделать доступ до web ADSL из своей сети (само правило и куда его ?) ?

Указываете правило LAN->WAN, так же не помешает на самом ADSL-модеме проверить разрешен ли доступ к web-интерфейсу.

Апну малость


ginger #

возможно ли в моноволе повесить еще один IP на WAN интерфейс, и цепляться к нему уже, поднимая впн?
Идея такова. Есть комп и маршрутизатор с моновол. Комп имеет IP 192.168.55.55, воткнут в свич провайдера. Моновол имеет реальный IP адрес, воткнут в свич провайдера.
С реальных IP адресов подключится на WAN интерфейс моновола и поднять VPN проблем не составляет. Хотелось бы назначить дополнительный IP на WAN интерфейсе 192.168.55.1 , и цепляться к моноволу с адреса 192.168.55.55
Использовать LAN интерфейс не предлагать .

Цитата:

Хотелось бы назначить дополнительный IP на WAN интерфейсе

Как последняя версия -не знаю, её не смотрел, но все предыдущие этого не позволяли.
Цитата:

Использовать LAN интерфейс не предлагать

Можно наделать OPT сколько угодно (сколько натыкать сетёвок и сколько портов на каждой).

Цитата:

Хотелось бы назначить дополнительный IP на WAN интерфейсе

C моноволом не работал, но так как из него вышел пфсенс, то предполагаю, что alias так же будет работать. На пфсенсе у меня заведено 9 айпишек для wan`а.

Использую m0n0wall в качестве роутера. Подключение к интернету через ppoe. Для подключения в сеть своей работы использую VPN. Но в 7-ке и Висте стандартными средствами подключение не удавалось, приходится использовать сторонние программы - ShrewVPN Client...
Можно ли, чтобы m0n0wall подключался по VPN к работе?
сеть дома 192.168.1.0/24
на работе 172.17.0.0/16 и 192.168.90.0/24 (хотя на самом деле, наверное, 192.168.0.0/16, но в остальные пока не нужен доступ)

toshanNEW

Цитата:

Можно ли, чтобы m0n0wall подключался по VPN к работе?

На сколько я могу судить, если вы планируете подключение к PPTP-серверу на работе, то нет, т.к. m0n0wall не имеет PPTP-клиента, а только сервер. Но вы без проблем можете подключиться к работе если вы используете IPSec, то тогда настраивается туннель, прописываются маршруты, правила брандмауэра и вы получаете доступ к вашей рабочей сети.

Цитата:

Но вы без проблем можете подключиться к работе если вы используете IPSec, то тогда настраивается туннель, прописываются маршруты, правила брандмауэра и вы получаете доступ к вашей рабочей сети.

Спасибо уже что-то. Методом дедукции, узнал, что Shrew, вроде, подключается по IPsec.
Пришлось немного повозиться, чтобы узнать group password...
Вобщем вроде настроил, но что дальше, не очень понимаю. Как настраивать маршруты брандмауэр?

Вот, на всякий случай мои настройки:
Shrew VPN Client: http://tosha.aihs.net/stuff/Shrew.png
m0n0wall IPsec: http://tosha.aihs.net/stuff/m0n0_IPsec.png

Правильно? И как теперь узнать, устанавливается ли соединение?

В Diagnostics - IPsec - SPD есть две строчки:
172.17.0.0/24    192.168.1.0/24        ESP    ...
192.168.1.0/24    172.17.0.0/24        ESP    ...


Спасибо за ответы.

Да, а ещё не понял куда вводить логин/пароль там? Те, что в Shrew я ввожу:

toshanNEW

Цитата:

Вобщем вроде настроил, но что дальше, не очень понимаю

PFS key group - используется для усложнения перехвата ваших параметров шифрования злоумышленником, поэтому настоятельно рекоммендую включеть данную опцию как минимум group 2.
Encryption algorithm, я бы выбрала AES, он превосходит 3Des по скорости.

Цитата:

И как теперь узнать, устанавливается ли соединение?

Diagnostics: "Logs -> System"

Цитата:

Как настраивать маршруты брандмауэр?

Настройка маршрутов вам понадобится если вы убедитесь, что соединение устанавливается, но пакеты между вашими сетями не ходят, для начала установите соединение между двумя интересующими вас точками, затем приступайте к маршрутизации, если понадобится.

Цитата:

Да, а ещё не понял куда вводить логин/пароль там? Те, что в Shrew я ввожу

Вы настраиваете Site-to-Site, вводить логин/пароль не требуется.

Цитата:

Diagnostics: "Logs -> System"

И в чём же может быть проблема? Идентификатор ввожу правильно. Только в логах появляется какая-то лишняя кавычка.

Сейчас настройки в m0n0 такие:
http://tosha.aihs.net/stuff/m0n0_new.png

toshanNEW
Посмотрите, что за параметры доступны в поле "My Identifier"? На сколько я могу судить вами не используется RSA Cert Subject, хотя он там указан.
"Negotiation mode" -> Main с обоих сторон!
"Encryption algorithm" -> AES (3Des)!

ginger
Может быть я не совсем правильно сформулировал просьбу в первом сообщении. Но мне нужно подключиться к рабочей сети, к настройкам которой я доступа не имею. Для подключения я сейчас использую Shrew VPN. А хочу сделать так, чтобы это соединение устанавливалось домашним роутером на базе m0n0...

Если я меняю эти настройки на что-либо другое, то соединение не устанавливается.
В предыдущем сообщении вы писали про Site-to-Site, возможно, что у нас в сети не этот тип тоннеля используется?.. Так как я не очень понимаю, как m0n0 будет соединяться хотя бы без пароля...

toshanNEW

Цитата:

В предыдущем сообщении вы писали про Site-to-Site, возможно, что у нас в сети не этот тип тоннеля используется?.. Так как я не очень понимаю, как m0n0 будет соединяться хотя бы без пароля...

http://doc.m0n0.ch/handbook/examplevpn.html
http://www.shrew.net/support/wiki/HowtoMonowall
Посмотрите примеры, попробуйте сделать по аналогии. И конечно же настройки должны совпадать с обоих сторон! В противном случае соединение установить между вашей работой и домом не удастся.

Как в сабже можно отключить "LAN/OPT spoof check"?
Из-за него не проходят пакеты со вторичного интерфейса OPT2 в LAN, т.к. сабж сам прописывает:

Цитата:

block in log quick on lnc3 from ! 192.168.1.0/24 to any

PhoenixUA

Цитата:

Как в сабже можно отключить "LAN/OPT spoof check"?
Из-за него не проходят пакеты со вторичного интерфейса OPT2 в LAN, т.к. сабж сам прописывает:

Скорее всего вами допущена ошибка в правилах, проверьте их еще раз внимательнее, подобная проблема ни разу не возникала, хотя в системе присутствует, аж OPT5.

Проблема присутствует, даже если в самом верху стоит всё разрешающее правило.
Да и не в моих правилах дело, т.к. это правило самого m0n0wall.


Цитата:

хотя в системе присутствует, аж OPT5.

с Secondary IPs?

PhoenixUA
Тогда расскажите более подробно о вашей схеме сети, что и куда должно маршрутизироваться и т.д...

LAN (192.168.10.x) <=> m0n0wall <=> OPT2 (192.168.1.x, 192.168.0.x)

с LAN идут пакеты (напр. ICMP) и на 192.168.1.х и на 192.168.0.х
со 192.168.1.х пинг на LAN есть, со 192.168.0.х нет, а надо чтобы был (и не только пинг).

last 50 filter log entries показывает, что

Цитата:

lnc3 @0:16 b 192.168.0.254 -> 192.168.10.14 PR icmp len 20 60 icmp echo/0 IN

ipfstat -nio:

Цитата:

@16 block in log quick on lnc3 from !192.168.1.0/24 to any

PhoenixUA

Цитата:

LAN (192.168.10.x) <=> m0n0wall <=> OPT2 (192.168.1.x, 192.168.0.x)

вот теперь понятно, вы используете со стороны интерфейса OPT2 две разные подсети, и как я поняла у вас так же активна опция secondary с присвоенным адресом из сети 192.168.0.х, в таком случае возможно вам поможет опция bridge, фильтрацию трафика ipfw можно будет отключить. По мимо этого имеется возможность использовать командную строку, скрипт exec.php, через него вы можете выполнить необходимые вам команды вручную, попробуйте тогда модифицировать правило фильтрации которое не удовлетворяет вашим требованием, но на мой взгляд это будет менее правильным решением.

ginger
Если я правильно понимаю, то при организации бриджа оба интерфейса оказываются в одной подсети, что в данном случае не подходит, т.к. должна быть отдельная подсеть и только определенным адресам из LAN должен быть доступ в OPT2.
Правила для ipfilter вроде генерируются в /etc/inc/filter.inc:

Цитата:

/* OPT spoof check */
foreach ($optcfg as $on => $oc) {
/* omit for bridged interfaces when the filtering bridge is on */
$isbridged = false;
foreach ($optcfg as $on2 => $oc2) {
if ($oc2['bridge'] && $oc2['bridge_if'] == $on) {
$isbridged = true;
break;
}
}

if ($oc['ip'] && !(($oc['bridge'] || $isbridged) && (isset($config['bridge']['filteringbridge']) || isset($config['bridge']['nospoofcheck'])) ))
$ipfrules .= filter_rules_spoofcheck_generate($on, $oc['if'], $oc['sa'], $oc['sn'], $log, $ipv6);

Можно ли как-то отредактировать этот файл?

PhoenixUA
Вы можете перезаписать данный файл своим, получив доступ к имиджу, либо через тот же exec.php, но как я поняла,вам необходимо изолировать сети друг от друга, тогда, возможно лучшим решением будет использовать vlan? правда коммутатор используемый вами, так же должен работать с vlan.

Ok, загрузил файл через exec.php -> Download, закоментировал процитированные строчки, через Upload загрузил в /tmp/filter.inc
exec.php -> cp /tmp/filter.inc /etc/inc/filter.inc
reboot
После перезагрузки наблюдаю оригинальный filter.inc... 0_0

Код: $ df
Filesystem 512-blocks Used Avail Capacity Mounted on
/dev/md0 31518 27670 3848 88% /
devfs 2 2 0 100% /dev
/dev/ad0a 19662 18072 1590 92% /cf

Указал на вкладке general dns-сервера,
поднял dhcp-сервер,
но клиентам выдаётся dns - ip-monowall всё равно.

Как сделать, чтобы указанные dns-сервера, выдавались и клиентам?

Не получается открыть rdp порт в моноволле. В NAT делаю по инструкции -
NAT
if - wan
proto - tcp
source - *
port - *
dest - 192.168.0.30
port - 3389


RULES
proto - tcp
source - *
port - *
dest - 192.168.0.30
port - 3389

в логе показывает, что пускает, но окно сервера с полями логин, пароль, домен не появляется

менял ПК для моновола и сетевые карты, вместо шлюза провайдера подключал пк с ип адресом шлюза провайдера, ничего не помогает. В чем засада?

Имеется много IP камер в локальной сети, при этом на них всех не прописан шлюз по умолчанию. Появилась необходимость подключаться к этим камерам удаленно через инет. Поставил сабж. Есть желание просто сделать форвординг портов к каждой камере, но без прописанного шлюза на камерах получить доступ не получается. Если не ошибаюсь есть механизм подмены SourceSddress в пакетах, таким образом, чтобы пакеты с камер не улетали вникуда, а шли на внутренний адрес:порт m0n0wall`а. Как это осуществить.