Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» m0n0wall FireWall/Router

Автор: ginger
Дата сообщения: 27.01.2006 09:21

Текущая версия 1.231 Изменения
Домашняя страница автор Маньюэл Каспер (Manuel Kasper).

Бета версия 1.3b4 Изменения

m0n0wall — бесплатный межсетевой экран, основанный на FreeBSD.

[more=Часть I. Установка и настройка.]
Исходные данные:

x86 - совместимый ПК (iCeleron 400МГц, 128Мб ОЗУ).
3.5" дисковод для дискет.
CD-ROM дисковод.
4 различных сетевых адаптера 1000/100/10.
Образ cdrom-1.21.iso (6Мб) записанный на CD.
1.44Мб 3.5" чистая дискета.

1.2.3.1/28 - IP-адрес роутера провайдера.
1.2.3.2/28 - внешний IP-адрес m0n0wall.
1.2.3.3/28 - IP-адрес почтового сервера.
1.2.3.4/28 - IP-адрес сервера имен.
1.2.3.5/28 - IP-адрес веб сервера.

172.16.1.0/24 - локальная сеть.
192.168.3.0/24 - демилитаризованная зона.
192.168.4.0/24 - иная локальная сеть.

IP-адреса присвоенные интерфейсам m0n0wall:
LAN: 172.16.1.254/24
WAN: 1.2.3.2/28
DMZ: 192.168.3.254/24
LAN2: 192.168.4.254/24

IP-адреса серверов расположенных в демилитаризованной зоне:
192.168.3.1 - сервер имен.
192.168.3.2 - веб сервер.
192.168.3.3 - почтовый сервер.

Готовые образы для встраиваемых платформ net45xx/net48xx/WRAP, а так же GENERIC-PC/CDROM можно скачать здесь.

Мною будет рассказано как организовать доступ в сеть интернет из двух локальных сетей, создать VPN-туннель с удаленным офисом и обеспечить работу почтового сервера, веб сервера и сервера имен расположенных в демилитаризованной зоне.

Установка.

Мною был выбран CDROM образ, поэтому речь пойдет именно об этом варианте установки.

После загрузки системы на экране появится следующая информация:

LAN IP address: 192.168.1.1

Port configuration:

LAN -> sis0
WAN -> sis1

m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host

Enter a number:

Сперва мы должны присвоить LAN интерфейсу необходимый IP-адрес.

Enter a number: 2

Enter the new LAN IP address: 172.16.1.254

Subnet masks are entered as bit counts (as in CIDR notation) in m0n0wall.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8

Enter the new LAN subnet bit count: 24

Do you want to enable the DHCP server on LAN? (y/n) n

The LAN IP address has been set to 172.16.1.254/24.
You can now access the webGUI by opening the following URL
in your browser:

http://172.16.1.254/

Press ENTER to continue

После этого нам необходимо указать интерфейсы подключенные к WAN и LAN.

Enter a number: 1

Valid interfaces are:

rl0 xx:xx:xx:xx:xx:xx
sk0 xx:xx:xx:xx:xx:xx
fxp0 xx:xx:xx:xx:xx:xx
sk1 xx:xx:xx:xx:xx:xx

Do you want to set up VLANs first?
If you're not going to use VLANs, or only for optional interfaes, you
should say no here and use the webGUI to configure VLANs later, if required.

Do you want to set up VLANs now? (y/n) n

Enter the LAN interface name or 'a' for auto-detection: rl0

Enter the WAN interface name or 'a' for auto-detection
(or nothing if finished): sk0

Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing if finished): fxp0

Enter the Optional 2 interface name or 'a' for auto-detection
(or nothing if finished): sk1

Enter the Optional 3 interface name or 'a' for auto-detection
(or nothing if finished):

The interfaces will be assigned as follows:

LAN -> rl0
WAN -> sk0
OPT1 -> fxp0 (OPT1)
OPT2 -> sk1 (OPT2)

The firewall will reboot after saving the changes.

Do you want to proceed? (y/n) y

The firewall is rebooting now

На этом этапе установку можно считать завершенной, теперь давайте перейдем непосредственно к настройке самого m0n0wall.
Не забудьте подсоединить LAN интерфейс m0n0wall к локальной сети либо на прямую патчкордом к другому ПК.

Настройка.

Со своей рабочей станции при помощи браузера вводим адрес LAN интерфейса m0n0wall, http://172.16.1.254
Для работы с веб-интерфейсом необходимо пройти авторизацию, по умолчанию, имя пользователя admin пароль mono

Первым делом заходим в System: "General Setup", где по своему желанию можем изменить Hostname и Domain.

В рассматриваемом мною примере используется статический IP-адрес выделенный провайдером, в связи с чем необходимо ввести IP-адреса сервера имен в поле DNS Servers 192.168.3.1 4.3.2.1 где,
192.168.3.1 - сервер имен расположенный в DMZ.
4.3.2.1 - внешний сервер имен провайдера.

Для большей безопасности необходимо изменить Username и Password принятые по умолчанию.

Изменить webGUI protocol на HTTPS.

Задать иной номер порта в поле webGUI port например: 445.

По желанию можно установить необходимую временную зону и сервер времени в полях Time zone и NTP time server.

По окончанию необходимо нажать на "Save" для сохранения изменений.

Следующим этапом переходим в раздел Interfaces: "WAN", где необходимо указать тип подключения, IP-адрес с маской сети и маршрутизатор провайдера.

Type -> Static
IP address -> 1.2.3.2/28
Gateway -> 1.2.3.1/28

По окончанию необходимо нажать на "Save" для сохранения изменений.

Далее следует переименовать и присвоить IP-адреса интерфейсам OPT1 и OPT2.

Interfaces: Optional 1 (OPT1)
Ставим галочку на против Enable Optional 1 interface
В поле "Description" вводим DMZ
Поле "Bridge with" оставляем как есть в none
В поле "IP address" вводим 192.168.3.254/24

По окончанию необходимо нажать на "Save" для сохранения изменений.

Interfaces: Optional 2 (OPT2)
Ставим галочку на против Enable Optional 2 interface
В поле "Description" вводим LAN2
Поле "Bridge with" оставляем как есть в none
В поле "IP address" вводим 192.168.4.254/24

По окончанию необходимо нажать на "Save" для сохранения изменений.

Далее перейдем к настройке правил брандмауэра и NAT.

Сперва заходим в раздел Firewall: NAT -> Server NAT.

Указываем внешний IP-адрес почтового сервера.
External IP address -> 1.2.3.3
Description -> Mail server

Указываем внешний IP-адрес сервера имен.
External IP address -> 1.2.3.4
Description -> Domain server

Указываем внешний IP-адрес веб сервера.
External IP address -> 1.2.3.5
Description -> Web server

Возможно потребуется настроить Services: "Proxy ARP", чтобы m0n0wall обрабатывал запросы идущие на IP-адреса отличные от WAN.

Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.3
Description -> Mail server

Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.4
Description -> Domain server

Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.5
Description -> Web server

После того как "Server NAT" настроен, перейдем во вкладку Firewall: NAT -> Inbound.

Здесь нам необходимо ввести правила для почтового, веб сервера и сервера имен.

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> SMTP
NAT IP -> 192.168.3.3
Local port -> SMTP
Description -> allow SMTP to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> POP3
NAT IP -> 192.168.3.3
Local port -> POP3
Description -> allow POP3 to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> IMAP
NAT IP -> 192.168.3.3
Local port -> IMAP
Description -> allow IMAP to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> 993
NAT IP -> 192.168.3.3
Local port -> 993
Description -> allow IMAPs to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> 995
NAT IP -> 192.168.3.3
Local port -> 995
Description -> allow POP3s to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.4 (Domain server)
Protocol -> TCP/UDP
External port range -> DNS
NAT IP -> 192.168.3.1
Local port -> DNS
Description -> allow DNS to Domain server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.5 (Web server)
Protocol -> TCP
External port range -> HTTP
NAT IP -> 192.168.3.2
Local port -> HTTP
Description -> allow HTTP to Web server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Interface -> WAN
External address -> 1.2.3.5 (Web server)
Protocol -> TCP
External port range -> HTTPS
NAT IP -> 192.168.3.2
Local port -> HTTPS
Description -> allow HTTPs to Web server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule

Теперь нам необходимо перейти в Firewall: Rules -> LAN и произвести настройку правил для локальной сети.

По умолчанию нет ограничений на весь исходящий трафик из локальной сети, на самом деле это не правильно, но для того чобы убедиться что все работает мы применим следующие правила:

Блокируем "мусор" идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 135
Destination -> any
Destination port range -> any
Description -> Block NetBIOS service

Блокируем "мусор" идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 137-139
Destination -> any
Destination port range -> any
Description -> Block NetBIOS services

Блокируем "мусор" идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 445
Destination -> any
Destination port range -> any
Description -> Block NetBIOS service

Запрещаем исходящий трафик на 25 (SMTP) порт, за исключением нашего почтового сервера.
Action -> block
Interface -> LAN
Protocol -> TCP
Source -> LAN subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: Single host or Alias
Address: 192.168.3.3
Destination port range -> any
Description -> block SMTP to any *BUT* our Mail server

Открываем полный доступ за исключением доступа в сеть LAN2.
Action -> Pass
Interface -> LAN
Protocol -> any
Source -> LAN subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN2 subnet
Destination port range -> any
Description -> permit LAN to any *BUT* LAN2

Правила для локальной сети LAN2 создаем по аналогии с правилами для сети LAN.

После этого нам необходимо перейти в Firewall: Rules -> DMZ и произвести настройку правил для демилитаризованной зоны.

Разрешаем исходящий трафик SMTP от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> SMTP
Destination -> any
Destination port range -> any
Description -> allow SMTP to any

Разрешаем исходящий трафик POP3 от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> POP3
Destination -> any
Destination port range -> any
Description -> allow POP3 to any

Разрешаем исходящий трафик IMAP от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> IMAP
Destination -> any
Destination port range -> any
Description -> allow IMAP to any

Разрешаем исходящий трафик IMAPs от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> 993
Destination -> any
Destination port range -> any
Description -> allow IMAPs to any

Разрешаем исходящий трафик POP3s от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> 995
Destination -> any
Destination port range -> any
Description -> allow POP3s to any

Разрешаем исходящий трафик от сервера имен.
Action -> Pass
Interface -> DMZ
Protocol -> TCP/UDP
Source ->
Type: Single host or Alias
Address: 192.168.3.1
Source port range -> DNS
Destination -> any
Destination port range -> any
Description -> allow DNS to any

Разрешаем исходящий трафик HTTP от веб сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.2
Source port range -> HTTP
Destination -> any
Destination port range -> any
Description -> allow HTTP to any

Разрешаем исходящий трафик HTTPs от веб сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.2
Source port range -> HTTPS
Destination -> any
Destination port range -> any
Description -> allow HTTPs to any

Запрещаем доступ в локальную сеть LAN.
Action -> Block
Interface -> DMZ
Protocol -> any
Source -> any
Source port range -> any
Destination -> LAN subnet
Description -> block DMZ traffic to LAN

Запрещаем доступ в локальную сеть LAN2.
Action -> Block
Interface -> DMZ
Protocol -> any
Source -> any
Source port range -> any
Destination -> LAN2 subnet
Description -> block DMZ traffic to LAN2

Разрешаем исходящий трафик DMZ куда угодно за исключением локальной сети LAN.
Action -> Pass
Interface -> DMZ
Protocol -> any
Source -> DMZ subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN subnet
Destination port range -> any
Description -> permit DMZ traffic to any *BUT* LAN

Разрешаем исходящий трафик DMZ куда угодно за исключением локальной сети LAN2.
Action -> Pass
Interface -> DMZ
Protocol -> any
Source -> DMZ subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN2 subnet
Destination port range -> any
Description -> permit DMZ traffic to any *BUT* LAN2

На данном этапе настройку системы можно считать завершенной, для применения новых параметров необходимо перезагрузить m0n0wall, для этого следует перейти в Diagnostics: "Reboot system" и нажать на "Yes".

Для проверки подключения кабелей к соответствующему интерфейсу можно прибегнуть к помощи консоли m0n0wall.[/more]

[more=Часть II. Настройка VPN-туннеля.]

Исходные данные:

ALT Linux Master 2.2
FreeSWAN 1.99

2.2.3.1/29 - IP-адрес роутера провайдера.
2.2.3.2/29 - внешний IP-адрес ALT Linux Master 2.2.

192.168.1.0/24 - локальная сеть.

Первым делом нам необходмо настроить FreeSWAN, каталог где расположены необходимые нам файлы находится здесь: /etc/freeswan

# cd /etc/freeswan/
# ls -l
total 2
-rw-r--r-- 1 root root 603 Jan 26 10:38 ipsec.conf
-rw------- 1 root root 53 Jan 26 10:39 ipsec.secrets

где, ipsec.conf файл конфигурации, ipsec.secrets файл содержащий информацию о ключе.

Файл ipsec.conf должен выглядеть примерно следующим образом:

# /etc/freeswan/ipsec.conf - FreeS/WAN IPsec configuration file

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0
# disablearrivalcheck=no
# authby=rsasig
# leftrsasigkey=%dnsondemand
# rightrsasigkey=%dnsondemand

conn vpn1
type=tunnel
left=1.2.3.2
leftsubnet=172.16.1.0/24
leftnexthop=1.2.3.1
right=2.2.3.2
rightsubnet=192.168.1.0/24
rightnexthop=2.2.3.1
authby=secret
auth=esp
esp=3des-md5-96
pfs=no
auto=start

Файл ipsec.secret должен выглядеть примерно следующим образом:

# /etc/freeswan/ipsec.secret - FreeS/WAN IPsec secret file
2.2.3.2 1.2.3.2 : PSK "oursupersecretkey"

Собственно на этом настройка FreeSWAN завершена.

Теперь необходимо указать соответсвующие правила для брандмауэра чтобы обеспечить беспрепятственную работу VPN-туннеля.

# Разрешаем прохождение трафика с/на 500 порт по протоколу UDP.
iptables -A INPUT -p udp -i eth1 --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp -o eth1 --sport 500 --dport 500 -j ACCEPT
# Разрешаем ESP протокол необходимый для шифрования и аутентификации.
iptables -A INPUT -p 50 -i eth1 -j ACCEPT
iptables -A OUTPUT -p 50 -o eth1 -j ACCEPT
# Разрешаем хождение трафика через ipsec0, ipsec1, ipsec2 и т.д... интерфейсы.
iptables -A INPUT -i ipsec+ -j ACCEPT
iptables -A OUTPUT -o ipsec+ -j ACCEPT
iptables -A FORWARD -i ipsec+ -j ACCEPT

eth1 - это внешний интерфейс, который соединен с интернет шлюзом провайдера

По мимо этого, необходимо отключить rp_filter, для того чтобы обеспечить нормальную работу IPSec.
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $f
done

После того как все выполнено мы можем перейти к настройке m0n0wall IPSec.

Переходим в раздел VPN: "IPsec -> Tunnels"
interface -> "WAN"
Local subnet: Type: "LAN subnet"
Remote subnet: 192.168.1.0
Remote gateway: 2.2.3.2
Description: ALT Linux VPN

Phase 1
Negotiation mode -> Main
My identifier: "My IP Address"
Encryption algorithm -> 3DES
Hash algorithm -> MD5
DH key group: "2"
Pre-shared key: oursupersecretkey

Phase 2
Protocol -> ESP
Encryption algorithms -> 3DES
Hash algorithms -> MD5

Сохраняем, затем ставим галочку на против Enable IPsec и жмем на "Save".

В разделе Diagnostics: "Logs -> System" можно увидеть следующие:

racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
racoon: INFO: 192.168.4.254[500] used as isakmp port (fd=7)
racoon: INFO: 192.168.3.254[500] used as isakmp port (fd=8)
racoon: INFO: 1.2.3.2[500] used as isakmp port (fd=9)
racoon: INFO: 172.16.1.254[500] used as isakmp port (fd=10)

Для активации нашего VPN-туннеля необходимо на удаленном ALT Linux, запустить сервис ipsec, это можно выполнить командой:
# service ipsec start

Смотрим на результат:

# tail /var/log/message

ipsec_setup: Starting FreeS/WAN IPsec 1.99...
ipsec_setup: Using /lib/modules/2.4.20-alt5-up/kernel/net/ipsec/ipsec.o
kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 1.99
/etc/hotplug/net.agent: invoke ifup ipsec0
ipsec_setup: KLIPS debug `none'
/etc/hotplug/net.agent: invoke ifup ipsec1
/etc/hotplug/net.agent: invoke ifup ipsec2
/etc/hotplug/net.agent: invoke ifup ipsec3
ipsec_setup: KLIPS ipsec0 on eth1 2.2.3.2/255.255.255.248 broadcast 2.2.3.7
ipsec_setup: ...FreeS/WAN IPsec started
ipsec: ipsec setup succeeded
ipsec__plutorun: 104 "vpn1" #1: STATE_MAIN_I1: initiate
ipsec__plutorun: 003 "vpn1" #1: ignoring Vendor ID payload
ipsec__plutorun: 106 "vpn1" #1: STATE_MAIN_I2: sent MI2, expecting MR2
ipsec__plutorun: 108 "vpn1" #1: STATE_MAIN_I3: sent MI3, expecting MR3
ipsec__plutorun: 004 "vpn1" #1: STATE_MAIN_I4: ISAKMP SA established
ipsec__plutorun: 112 "vpn1" #2: STATE_QUICK_I1: initiate
ipsec__plutorun: 004 "vpn1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established

# ipsec look

192.168.1.0/24 -> 172.16.1.0/24 => tun0x100d@1.2.3.2 esp0x4bc5295@1.2.3.2 (5)
ipsec0->eth1 mtu=16260(1443)->1500
esp0x161f184@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x083784cc77363d6d ooowin=64 seq=2628 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(318632,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414
esp0x4bc5295@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x7e70b6d253d1953e ooowin=64 seq=5 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(616,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502
esp0x6130a396@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0x11db43afab67becd ooowin=64 seq=2743 bit=0xffffffffffffffff alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588
esp0x6130a398@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0xe3ee06a2cb385326 ooowin=64 seq=6 bit=0x3f alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502
tun0x1009@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588
tun0x100a@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(228956,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414
tun0x100c@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502
tun0x100d@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(453,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 2.2.3.1 0.0.0.0 UG 0 0 0 eth1
172.16.1.0 2.2.3.1 255.255.255.0 UG 0 0 0 ipsec0
2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 eth1
2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 ipsec0

В разделе Diagnostics: "Logs -> System" можно увидеть следующие:

racoon: INFO: IPsec-SA request for 2.2.3.2 queued due to no phase1 found.
racoon: INFO: initiate new phase 1 negotiation: 1.2.3.2[500]<=>2.2.3.2[500]
racoon: INFO: begin Identity Protection mode.
racoon: INFO: ISAKMP-SA established 1.2.3.2[500]-2.2.3.2[500] spi:7e806a9ddc15b82d:64798000201142a6
racoon: INFO: initiate new phase 2 negotiation: 1.2.3.2[0]<=>2.2.3.2[0]
/kernel: WARNING: pseudo-random number generator used for IPsec processing
racoon: INFO: IPsec-SA established: ESP/Tunnel 2.2.3.2[0]->1.2.3.2[0] spi=79450773(0x4bc5295)
racoon: INFO: IPsec-SA established: ESP/Tunnel 1.2.3.2[0]->2.2.3.2[0] spi=1630577560(0x6130a398)

\>ping 192.168.1.1

Обмен пакетами с 192.168.1.1 по 32 байт:

Ответ от 192.168.1.1: число байт=32 время=2мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=8мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=4мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=18мс TTL=126

Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 18 мсек, Среднее = 8 мсек

На этом установку VPN-туннеля можно считать завершенной.[/more]
Автор: Infected Switch
Дата сообщения: 15.12.2006 08:18
У меня он почему-то не хочет выпускать VPN клиентов. В Firewall Rules - PPTP VPN стоит правило все из *... в чем могут быть грабли?
Автор: ginger
Дата сообщения: 18.12.2006 09:05
Infected Switch
Попробуйте определить причину в разделе Diagnostics: Logs: Firewall по умолчанию протоколируются события которые были заблокированы, так же возможно необходимо прописать маршрут в разделе System: Static routes
Автор: Infected Switch
Дата сообщения: 15.10.2007 08:35
А я смотрю тема жива и развивается =)
По предыдущей проблеме: помимо порта L2TP на выход нужно было еще открыть GRE & IKE

Новый вопрос:
Объединяю две сети по IPSec VPN и как результат - сети друг друга видят, но из сети №2 не возможно получить никакие ресурсы сети №1. С пингом все ок.
Есть идеи?
Автор: ginger
Дата сообщения: 15.10.2007 09:31

Цитата:
Объединяю две сети по IPSec VPN и как результат - сети друг друга видят, но из сети №2 не возможно получить никакие ресурсы сети №1. С пингом все ок.

Необходимо разрешить прохождение UDP из сети №2 в сеть №1
Автор: Infected Switch
Дата сообщения: 15.10.2007 11:16
ginger
У меня правила маршрутизатора сети 2 уже лояльней некуда: на интерфейсе LAN правило "разрешить все из Lan Subnet куда угодно" и на WAN "разрешить все из сети 1 куда угодно".
Благо внешние адреса не из глобальной сети, из внутренней провайдера.
Автор: fd254
Дата сообщения: 15.10.2007 11:25
может нужно MSS поправить? или роутинг на клиентах?
Автор: Infected Switch
Дата сообщения: 15.10.2007 11:55
fd254

Цитата:
может нужно MSS поправить?

???
У меня голый моно на CF стоит. Без FreeBSD.

Цитата:
или роутинг на клиентах?

для клиентов он шлюз по умолчанию
Автор: ginger
Дата сообщения: 15.10.2007 12:36

Цитата:
У меня голый моно на CF стоит. Без FreeBSD.

Доступ к командной строке:
https://your-m0n0/exec.php
Автор: Infected Switch
Дата сообщения: 15.10.2007 14:25

Цитата:
Доступ к командной строке:
https://your-m0n0/exec.php

Спасиб, буду иметь ввиду.
А без установки mpd можно mtu изменить?
Автор: ginger
Дата сообщения: 15.10.2007 14:38

Цитата:
А без установки mpd можно mtu изменить?

mdp в m0n0 уже имеется, единственное что непонятно, реально ли проблема в mss, или же нет.
Автор: Infected Switch
Дата сообщения: 15.10.2007 14:50

Цитата:
mdp в m0n0 уже имеется, единственное что непонятно, реально ли проблема в mss, или же нет.

Полагаю что проблема может быть в размерах пакетов, т.к. канал связи проблемной сети очень некачественный (медная пара, по которой с трудом ползет ADSL).
route get говорит что mtu у меня 1500... как уменьшить?
Автор: ginger
Дата сообщения: 15.10.2007 15:11

Цитата:
route get говорит что mtu у меня 1500... как уменьшить?

Например, при помощи правил брандмауэра ipf, полный список примененных вами правил можно увидеть выполнив команду:
/sbin/ipfstat -hio
Автор: Infected Switch
Дата сообщения: 15.10.2007 15:20
Все, догнал! Банальщина: ifconfig ed0 mtu 500
Посмотрим чем это мне поможет...


Добавлено:
И нифига =\
Автор: Infected Switch
Дата сообщения: 16.10.2007 08:53
Ладно, в ближайшее время планирую все площадки на волокно перевести, т.ч. временно этот вопрос оставлю.

Следующий вопрос назрел: немного непонятно разделение Rules на LAN и WAN.
Например, для того чтобы разрешить исходящий хттп трафик, я на LAN создаю правило, разрешающее TCP из LAN Subnet в * на 80 порт.
Для того, чтобы разрешить входящие на почтовый сервер на WAN создаю правило, разрешающее TCP на 25 порт почтового сервера.
Непонятен смысл этого разделения правил по интерфейсам. Чего можно этим добиться?
Автор: Infected Switch
Дата сообщения: 16.10.2007 10:58
Честно говоря совсем уже запутался в этих правилах. То что было создано оказалось нерабочим =)
Как опубликовать сервис внутренней сети?
К примеру возьмем RDP:
Если на WAN создать правило, разрешающее TCP отовсюду на IP внутреннего сервера и порт 3389 - ничего не пашет т.к. WAN его блокирует.
Если на WAN создать правило, разрешающее TCP отовсюду на WAN порт 3389 - проходит, но теперь нужно довести цепочку до нашего внутреннего сервера. На LAN создаю правило, разрешающее TCP с WAN на IP внутреннего сервера и порт 3389 - ничего не пашет. Создаю такое же правило на WAN - результат такой же =\
Что не правильно делаю?
Автор: ginger
Дата сообщения: 16.10.2007 11:07
Infected Switch

Цитата:
Что не правильно делаю?

Необходимо настроить NAT, тогда будет возможен проброс трафика с определенных портов и т.д.
Автор: Infected Switch
Дата сообщения: 16.10.2007 11:23
ginger
Благодарю :]
Автор: jack26
Дата сообщения: 23.10.2007 21:49
Народ подскажите как XML с настройками хранить на CD, т.е грузиться без флопа ?
Автор: bazzzilio
Дата сообщения: 22.01.2008 14:34
Народ, а подскажите, как можно ограничивать-запрещать выход с определенных-всех адресов на сайты, содержащие определенные слова в имени (sex*, porno, etc.)?
Короче, интересует, насколько реально прикрутить к сабжу content-filter, и насколько реально прикрутить фильтрацию по Server Name или по URL, что, в принципе, одно и то же... Потому как сабж понравился очччень, но указанных функций катастрофически не хватает для полного отказа от Wingate. Может, где не дочитался, ткните, плз...
Автор: ginger
Дата сообщения: 23.01.2008 19:05
bazzzilio

Цитата:
интересует, насколько реально прикрутить к сабжу content-filter

Не хочу вас огорчить, но данной функцией данный брандмауэр не обладает.
Автор: bazzzilio
Дата сообщения: 24.01.2008 13:40
Оч. жаль. Может, посоветуете аналогичный продукт, где данная функция имеет место быть? Желательно, опять же, на FreeBSD, с низкой требовательностью к ресурсам и некритичностью к сбоям питания ("Установил и забыл" )? Сейчас на диал-апе, тестировать все подряд - нет технической возможности...
Сорри за оффтоп...
Автор: ginger
Дата сообщения: 24.01.2008 15:20
bazzzilio

Цитата:
посоветуете аналогичный продукт, где данная функция имеет место быть? Желательно, опять же, на FreeBSD, с низкой требовательностью к ресурсам и некритичностью к сбоям питания ("Установил и забыл" )

pfSense проект основанный на m0n0wall
Автор: bazzzilio
Дата сообщения: 24.01.2008 19:53
ginger
10x, будем пробовать...
Автор: nikolaevsergey
Дата сообщения: 24.04.2008 00:08
доброго времени суток..
Microsoft Virtual PC.. на нем стоит pfSense для эксперимента и изучения работы.. подскажите как заставить его видеть интернет???
дома ADSL подключен как роутер. пинг до модема проходит. каких-либо фаеров в виндах нет, даже встроенного..
Автор: slech
Дата сообщения: 24.04.2008 00:13
nikolaevsergey
Daefault Gateway прописан ? ну или Defaul Route ?
Автор: nikolaevsergey
Дата сообщения: 25.04.2008 00:11
где его указывать?? если можно поподробнее..
немного уточню: эта система установлена на виртуальном компе с двумя сетевыми интерфейсами... один из них сконфигурирован как LAN.. через него я могу пробиться к "панели управления" pfSense. WAN как не пытаюсь сконфигурировать - никак не получается, даже пингануть.. а хочу подключить к инету чтоб посмотреть какие еще модули к ней есть и что они дают..
поставить на железный комп нет возможности..
Автор: hammd
Дата сообщения: 17.07.2008 14:52
Здравствуйте
Подскажите плз
установил Monowall на виртуалную машину.. вроде даже работает нормально, НО !!!
Почемуто не работает в веб интерфейсе "Diagnostics", те кнопа просто не нажимается...
мож я ченить не то сделал,..??
или версия моноваала такая 1.23b4 ...
Автор: Lion666
Дата сообщения: 19.08.2008 16:44
Прива
есть две внутренние сетки разделенные моновалом, одна сетка в LAN другая в WAN, как из одной сети получить доступ к домен контроллеру находящемуся в другой сети, домен контроллер находится в WAN, правилами разрешил все на LAN и WAN.
Автор: ginger
Дата сообщения: 19.08.2008 17:00
Lion666
Настоятельно рекомендую понять что такое WAN и LAN, после чего приниматься за настройку системы, тогда подобные вопросы исчезнут сами собой.

Страницы: 12

Предыдущая тема: WAN->LAN MAP (port-mapping) в Kerio Winroute


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.