проброс GRE туннеля
-
имеем:
| - - - - - - - - - - - - - - - - - - - - - - - |
| сотрудник, которому надо |
| ходить во внутреннюю сеть |
| 10.10.11.0 / 24 |
| - - - - - - - - - - - - - - - - - - - - - - - |
| - - GRE туннель - 10.10.10.1 - - |
| - - - - - - - - - - - - - - - - - - - - - - - |
| - - - - - - - 98.98.98.98 - - - - - - - |
|
|
| - - - - - - - - - - - - - - - - - - - - - - - |
| злой и страшный интернет |
| - - - - - - - - - - - - - - - - - - - - - - - |
|
| - - - - - - - - - - - - - - - - - - - - - - - |
| - конец втыкнутый у прова |
| - - - - - 99.99.99.253 / 28 - - - - - |
|
|
| - - WAN - 99.99.99.249 / 28 - - - |
| pfsense |
| - – LAN - 99.99.99.238 / 28 - - - |
|
|
| - - - - - 99.99.99.229 / 28 - - - - - |
| billing он же шлюз в сети |
| - - - - - - - 172.16.0.253 - - - - - - |
| - - - - - - - - - - - - - - - - - - - - - - - |
| - - GRE туннель - 10.10.11.1 - - |
| - - - - - - - - - - - - - - - - - - - - - - - |
|
|
| - - - - - - - - - - - - - - - - - - - - - - - |
| какой-то switch |
| - - - - - - - - - - - - - - - - - - - - - - - |
| |
| - - - - - - - - - - - | | - - - - - - - - - - - |
| 172.16.0.0 / 16 | | 10.10.11.0 / 24 |
| - - - - - - - - - - - | | - - - - - - - - - - - |
| | |
|-------| |-------| |-------|
| - 1 - | | - 2 - | | - 3 - |
|-------| |-------| |------= = = = = = = = = = = = = = = = = =
= = = = = = = = = = = = = = = = = =есть такие правила:
Firewall -> Rules -> LAN[отключено] TCP WAN address * LAN net * * lan test ip_forward
[отключено] * LAN net * * * * Default LAN -> any
[влючено] * LAN net * 99.99.99.240/28 * 99.99.99.253 Make sure WAN_DMZ traffic goes to right interface
[влючено но кабель отключен] * LAN net * OPT1 net * 192.168.1.1 Make sure OPT1_DMZ traffic goes to right interface
[влючено но кабель отключен] * LAN net * OPT2 net * 192.168.0.1 Make sure OPT2_DMZ traffic goes to right interface
[влючено] * LAN net * * * global_LB Everything else gets shared outна других интерфейсах активных правил нет.
туннели поднимаются следующими скриптами (взятыми из этой статьи)
@туннель:#!/bin/sh
tnl=tnl0
remote=98.98.98.98
local=99.99.99.229
ip=10.10.11.1
range=10.10.10.0/24
modprobe ip_gre
ip tunnel add $tnl mode gre local $local remote $remote ttl 255
ip addr add $ip dev $tnl
ip link set $tnl up
ip route add $range dev $tnl
ip link set $tnl mtu 1500@туннель:
#!/bin/sh
tnl=tnl0
remote=99.99.99.229
local=98.98.98.98
ip=10.10.10.1
range=10.10.11.0/24
modprobe ip_gre
ip tunnel add $tnl mode gre local $local remote $remote ttl 255
ip addr add $ip dev $tnl
ip link set $tnl up
ip route add $range dev $tnl
ip link set $tnl mtu 1500так как до этого времени в основном баловались детскими глупостями, возникает вопрос:
как пробросить gre-туннель внутрь сети?
ну или какие мысли - что почитать . . .сейчас извне не пингуется ни один интерфейс находящийся за 99.99.99.253
писал какое-то правило (тут на форуме видел - что-то типа allow * from * to *), после которого мог пинговать 99.99.99.249, но на том увы все и закончилось.подскажите как это сделать
спасибо -
А на каких устройствах терминируется тоннель - ОС? и как тут pfSense учавствует?
-
уф, вчера в спешке под конец рабочего дня писалось сообщение.
два компа:
99.99.99.229 - Debian 5
98.98.98.98 - не известно. возможо тоже будет debian, а может еще чего…сейчас тестируем "внутри" сети на двух одинаковых debian 5 (squeeze кажись):
- один комп - ходит через основного провайдера и соответственно через pfsense. (если смотреть на "схему" - коннект снизу вверх);
- другой комп в момент теста переключаем на резервный канал и получается, что идем со стороны интернета (сверху вниз).
интересует, какое правило (или несколько) и на каком интерфейсе (или на каких) необходимо прописать, чтобы иметь возможность из интернета ковыряться только во внутренней сети 10.10.11.0/24.
-
иметь возможность из интернета ковыряться только во внутренней сети 10.10.11.0/24.
кто-нибудь понял задачу?
-
ну простите - бывает, вырывается иногда. :(
иметь всевозможный доступ к ресурсам сети 10.10.11.0/24 . . .
-
Да я не прос слова, я про содержание.
GRE-тоннель то поднимается? -
pfsense 1.2.3
черт. сам не понял сначала, что мне надо.
зациклился на GRE, в то время, как проблема вовсе не в нем.ситуация такая:
[ сеть 172.16.0.0/16 ]
|
|
[ 172.16.0.253 ]
[ шлюз (NAT) ]
[ 99.99.99.229/28 ]
|
|
[ 99.99.99.238/28 LAN ]
[ pfsense ]
[ WAN 99.99.99.249/28 ]
|
|
[ 99.99.99.253/28 интернет ]из сети в интернет выходим с адресом 99.99.99.249/28, т.е. на pfsense запросы проходят тоже через NAT.
мне же надо сделать так, чтобы:- адрес 99.99.99.229/28 не натился;
- работал интернет (см. ниже);
- можно было достучаться в получившуюся DMZ (99.99.99.224/28) из интернета.
вот правила, которые есть в firewall`e:
@Firewall::Rules::LAN:[отключено] * LAN net * * * * Default LAN -> any
[влючено] * LAN net * 99.99.99.240/28 * 99.99.99.253 Make sure WAN_DMZ traffic goes to right interface
[влючено, но кабель не отключен] * LAN net * OPT1 net * 192.168.1.1 Make sure OPT1_DMZ traffic goes to right interface
[влючено, но кабель не отключен] * LAN net * OPT2 net * 192.168.0.1 Make sure OPT2_DMZ traffic goes to right interface
[влючено] * LAN net * * * global_LB Everything else gets shared out= = =
из похожего прочитал вот эту тему.
включил "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" в firewall::nat::outbound.
появлялось правилоInterface Source SPort Dest DPort NAT Address NAT Port Static Port Descrip WAN 99.99.99.224/28 * * * * * NO [Auto created rule for LAN]
но опять же - мне NAT на pfsense не нужен…
после включения в правиле опции "No NAT (NOT)" пропадает интернет.
т.е. судя по всему в firewall`e не хватает каких-то правил...если я в очередной раз чего "сморозил" - не пинайте... :(
-
Не надо ната? - удаляй нат-правило смело! ломать - не строить. Поверь, ната не будет.
Однако, это не DMZ, а извращение какое-то (на мой скромный взгляд).