Nat и pfSense-1.2.3-RELEASE-LiveCD-Installer.iso

olv

@zar0ku1:

@olv:

через сквид инет раздается без ната…

да ну, и кто же выполняет роль транслятора адресов локальной сети в глобальную и обратно?

какие у вас интересный айпи адреса, а почему решили использовать автоконфигурентную сеть?

покажите ifconfig -a шлюза

покажите фаервол лан и ван интерфейсов

роль транслятора адресов локальной сети – при сквиде не нужен нат -- доступ к сети получается от самого прокси сервера, так как там установлено прямое соединение

ifconfig -a

sk0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
        options=b <rxcsum,txcsum,vlan_mtu>ether 00:11:95:ed:09:36
        media: Ethernet autoselect (none)
        status: no carrier
vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:22:b0:e5:54:e3
        inet6 fe80::222:b0ff:fee5:54e3%vr0 prefixlen 64 scopeid 0x2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
re0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=389b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic>ether 00:15:58:5b:3c:67
        inet6 fe80::215:58ff:fe5b:3c67%re0 prefixlen 64 scopeid 0x3
        inet 169.254.0.30 netmask 0xffff0000 broadcast 169.254.255.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet 127.0.0.1 netmask 0xff000000
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
        pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=100 <promisc>metric 0 mtu 33204
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492
        inet x.x.x.x --> xx.xx.xx.xx netmask 0xffffffff
        inet6 fe80::211:95ff:feed:936%ng0 prefixlen 64 scopeid 0x8

</up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast></rxcsum,txcsum,vlan_mtu></broadcast,simplex,multicast>

zar0ku1

1. понял, squid у вас не прозрачный
2. покажите```
   pfctl -sn | grep nat

olv

@zar0ku1:

1. понял, squid у вас не прозрачный
2. покажите```
   pfctl -sn | grep nat

понял, squid у вас не прозрачный - поидее если он будет прозрачный то должно работать - но это не выход…

pfctl -sn | grep nat

nat-anchor "pftpx/" all
nat-anchor "natearly/" all
nat-anchor "natrules/*" all
nat on vr0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on ng0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on vr0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on ng0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on vr0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin
nat on ng0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin

поискав по форуму наткнулся на мысль что pfsense как то не так обрабатывает ng0 ...

зы freebsd (точнее pfsense) поставил первый раз в жизни, до этого имел дело с debian, поэтому не знаю куда чего ткнуть!

kadulin

Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

И правда, а зачем была выбрана сеть 169.х.х.х?

olv

@kadulin:

Âî ïåðâûõ - âòîðîå ïðàâèëî â Lan íå íóæíî, ò.ê. ïåðâîå âñå èç ëîêàëüíîé ñåòè ðàçðåøàåò
Âîò âòîðûõ - íà êëèåíòñêèõ êîìïüþòåðàõ êàêîé ñòîèò øëþç ïî óìîë÷àíèþ? ò.å. åñëè ó íèõ ñòîèò íå IP 169.254.0.30,  òî áåç ñêâèäà èíåò íå áóäåò ðàáîòàòü.

È ïðàâëà, à çà÷åì áûëà âûáðàíà ñåòü 169.õ.õ.õ?

что-то с кодировкой

zar0ku1

@olv:

что-то с кодировкой

с кодировкой проблем нет

цитирую:

Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

И правда, а зачем была выбрана сеть 169.х.х.х?

olv

Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает

это я для уверенности сделал …

Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

да шлюз 169,254,0,30

И правда, а зачем была выбрана сеть 169.х.х.х?

это так исторически сложилось …

поставил pfSense-2.0-ALPHA-20091221-2130 таже ситуация, только еще + днс форвард толи не работает толи не подхватывает днс от пппое
также попробовал на двух версиях менять конфиг ван с пппое на dhcp (пппое модем подымал) - никак не помогло ...

zar0ku1

лень было искать, но все же нашел

в ядре freebsd стоит запрет на форвард для автоконфигурентной сети, меняйте айпишки и все будет ок ;)
не забывайте почитывать иногда RFC

RFC 3927 (http://tools.ietf.org/html/rfc3927) пункт 2.6.2

/* RFC 3927 2.7: Do not forward datagrams for 169.254.0.0/16\. */
if (IN_LINKLOCAL(ntohl(ip->ip_dst.s_addr))) {
ipstat.ips_cantforward++;
m_freem(m);
return;
}

Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

читать тут:
инглиш http://www.faqs.org/rfcs/rfc1918.html
рашн http://rfc2.ru/1918.rfc

olv

@zar0ku1:

Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

zar0ku1

@olv:

спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

сколько машин?

olv

@zar0ku1:

@olv:

спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

сколько машин?

около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тп

а можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?

dvserg

Вот тоже немного про APIPA
http://wiki.compowiki.info/ChtoTakoeAPIPA

Следует иметь в виду, что компьютер с адресом, полученным от этой службы, не может связываться с компьютерами в другой подсети или выйти в Интернет. Поэтому ОС Windows XP выводит сообщение на иконке соединения в трее
Состояние: Подключение ограничено или отсутствует.

zar0ku1

@olv:

около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тп

а можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?

чего-то я не понял, а как это работало до pfsense? что служило шлюзом?

olv

@zar0ku1:

@olv:

около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тп

а можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?

чего-то я не понял, а как это работало до pfsense? что служило шлюзом?

и счас служит debian …

основная цель моего изучения pfSense является load balancing из коробки ...
и что бы люди (в случае моего отсутствия) могли без меня разобраться хотя бы примерно (при помощи webGUI) что и где неработает

все таки - можно ли как то интерфейсу lan назначить второй ip адрес?

rubic

@olv:

все таки - можно ли как то интерфейсу lan назначить второй ip адрес?

да можно, можно.. толку-то? NAT работает с адресами компов в LAN.. все-равно не пустит..

olv

@rubic:

@olv:

все таки - можно ли как то интерфейсу lan назначить второй ip адрес?

да можно, можно.. толку-то? NAT работает с адресами компов в LAN.. все-равно не пустит..

как ? из консоли или средствами вебгуи …

пробовал создать vlan на lan - как то непомогло

rubic

vlan не трогай.. - это дугое, юзай virtual ip

Eugene

Столько обсуждали и никто не проголосовал -)

olv

тут попался один документ http://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf в котором говорится что средствами гуи подобное можно будет сделать только в 1.3 … а так нужно ручками редактировать конфиг ...

zar0ku1

@olv:

тут попался один документ http://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf в котором говорится что средствами гуи подобное можно будет сделать только в 1.3 … а так нужно ручками редактировать конфиг ...

1.3 переименован в 2.0, пробуйте снапшоты