[РЕШЕНО] Интернет PPTP VPN из Lan subnet

garald50

@deutsche:

какая задача стоит вообще?

на данный момент не решены следующие задачи с помощью pf:

1. Развертывание видеосвязи с помощью Polycom (точка-точка)
схема:
хост Polycom -> pf ->VPN с Интернетом по локалке провайдера {белый ip 1} -> Интернет -> {белый IP 2} хост Polycom

2. Подключение по RDP (port 3389) к терминальному серверу, находящимуся в моей Lan subnet, из локалки провайдера.
схема:
терминальный сервер RDP <- pf {ip 1 в локалке прова} <- локалка прова <- {ip 2 в локалке прова} <- терм. клиент RDP

zar0ku1

1. какие порты использует?
2. Какая проблема тут?

у меня сделано так

WAN 	TCP 	8800  	192.168.10.15 (ext.: any) 	3389  	Natasha-PC

garald50

@zar0ku1:

1. какие порты использует?
2. Какая проблема тут?

у меня сделано так

WAN 	TCP 	8800  	192.168.10.15 (ext.: any) 	3389  	Natasha-PC

это в Firewall: NAT: Port Forward. пробовал.
если бы все так было просто. static+pptp. wan смотрит в Интернет. из локалки прова wan недоступен.

zar0ku1

@garald50:

если бы все так было просто. static+pptp. wan смотрит в Интернет. из локалки прова wan недоступен.

правильно ван который пптп из локальной сети провайдера недоступен, но который static - то доступен
у тебя получается грубо говоря два интерфейса eth1 и tun1
eth1 например имеет серый айпи вида 10.253.24.10 а tun1 имеет белый айпи вида 94.56.87.23
так?

garald50

@zar0ku1:

@garald50:

если бы все так было просто. static+pptp. wan смотрит в Интернет. из локалки прова wan недоступен.

правильно ван который пптп из локальной сети провайдера недоступен, но который static - то доступен
у тебя получается грубо говоря два интерфейса eth1 и tun1
eth1 например имеет серый айпи вида 10.253.24.10 а tun1 имеет белый айпи вида 94.56.87.23
так?

в Status: Interfaces у меня два интерфейса - сервый интернетовский и локалка внутренняя. а как мне сделать серый eth1
и белый tun1 ?

zar0ku1

@garald50:

в Status: Interfaces у меня два интерфейса - сервый интернетовский и локалка внутренняя. а как мне сделать серый eth1
и белый tun1 ?

напиши первые два октета этих айпшнегов

garald50

@zar0ku1:

@garald50:

в Status: Interfaces у меня два интерфейса - сервый интернетовский и локалка внутренняя. а как мне сделать серый eth1
и белый tun1 ?

напиши первые два октета этих айпшнегов

серый инет 10.16 и внутренняя локалка 192.168

zar0ku1

@garald50:

серый инет 10.16 и внутренняя локалка 192.168

жестокий провайдер

попробуй попинговать адрес 192.168.x.x. с другого айпи (локалки провайдера) сейчас рассматриваю проблему #2

garald50

@zar0ku1:

@garald50:

серый инет 10.16 и внутренняя локалка 192.168

жестокий провайдер

попробуй попинговать адрес 192.168.x.x. с другого айпи (локалки провайдера) сейчас рассматриваю проблему #2

стоп. 192.168.x.x. - это моя внутренняя подсетка, а не сетка прова. почему 192.168.x.x. должен пингваться из локалки прова?

zar0ku1

@garald50:

стоп. 192.168.x.x. - это моя внутренняя подсетка, а не сетка прова. почему 192.168.x.x. должен пингваться из локалки прова?

эм, ты меня не понял, у тебя ван статик и pptp, скажи их айпишники
или просто покажи ifconfig

garald50

@zar0ku1:

или просто покажи ifconfig

re0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
        options=389b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic>ether 00:24:1d:3c:63:7a
        media: Ethernet autoselect (10baseT/UTP <half-duplex>)
        status: no carrier
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=8 <vlan_mtu>ether 00:80:48:61:3e:d0
        inet 192.168.0.16 netmask 0xffffff00 broadcast 192.168.0.255
        inet6 fe80::280:48ff:fe61:3ed0%rl0 prefixlen 64 scopeid 0x2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=8 <vlan_mtu>ether 00:80:48:19:7a:24
        inet 172.26.62.5 netmask 0xffffff00 broadcast 172.26.62.255
        inet6 fe80::280:48ff:fe19:7a24%rl1 prefixlen 64 scopeid 0x3
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
        pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=100 <promisc>metric 0 mtu 33204
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
        inet 10.16.32.173 –> 10.128.0.1 netmask 0xffffffff
        inet6 fe80::224:1dff:fe3c:637a%ng0 prefixlen 64 scopeid 0x8
ng1: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
        inet 172.26.62.5 --> 192.168.2.194 netmask 0xffffffff
        inet6 fe80::224:1dff:fe3c:637a%ng1 prefixlen 64 scopeid 0x9
ng2: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
        inet6 fe80::224:1dff:fe3c:637a%ng2 prefixlen 64 scopeid 0xa
        inet 172.26.62.5 --> 192.168.2.192 netmask 0xffffffff
ng3: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
        inet 172.26.62.5 --> 192.168.2.193 netmask 0xffffffff
        inet6 fe80::224:1dff:fe3c:637a%ng3 prefixlen 64 scopeid 0xb
ng4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng8: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng9: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng10: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng11: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng12: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng13: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng14: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng15: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng16: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500</pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></half-duplex></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic></broadcast,simplex,multicast>

zar0ku1

rl0 - lan
rl1 - wan
ng0 - pptp
так?

garald50

@zar0ku1:

rl0 - lan
rl1 - wan
ng0 - pptp
так?

судя по распечатке ifconfig - да.

хотя в Status: Interfaces  rl1 - pptp

zar0ku1

@garald50:

судя по распечатке ifconfig - да.

хотя в Status: Interfaces  rl1 - pptp

забей на вебинтерфейс, больше верю ifconfig

так у тебя?

и нужно чтобы с компьютера (удаленного) можно было подключаться по rdp к компьютеру в локальной сети?

garald50

@zar0ku1:

@garald50:

судя по распечатке ifconfig - да.

хотя в Status: Interfaces  rl1 - pptp

забей на вебинтерфейс, больше верю ifconfig

так у тебя?

и нужно чтобы с компьютера (удаленного) можно было подключаться по rdp к компьютеру в локальной сети?

совершенно верно получается именно так и нужно именно это.

p.s. хотя физически есть прямая линия между pf и хостом в локалке прова. но почему-то - пингов нет
с хоста в локалке прова на pf.

zar0ku1

тогда покажи скриншот правил фаервола на ване

garald50

@zar0ku1:

тогда покажи скриншот правил фаервола на ване

zar0ku1

а где icmp чтобы пинговалось?
и покажи еще traceroute с компьютера до pfsense

garald50

@zar0ku1:

а где icmp чтобы пинговалось?
и покажи еще traceroute с компьютера до pfsense

на втором правиле proto сделал *
tracert с 172,20,3,9
прошу прощения за крокозябры вот tracert pf (172,26,62,5)

1    <1 ¬б    <1 ¬б    <1 ¬б  172.20.3.1

2    <1 ¬б    <1 ¬б    <1 ¬б  10.11.11.10

3     *        *        *     ЏаҐўл襭 Ё­вҐаў « ¦Ё¤ ­Ёп ¤«п § Їаб .

4     *        *        *     ЏаҐўл襭 Ё­вҐаў « ¦Ё¤ ­Ёп ¤«п § Їаб .

5     *        *        *     ЏаҐўл襭 Ё­вҐаў « ¦Ё¤ ­Ёп ¤«п § Їаб .

6     *        *        *     ЏаҐўл襭 Ё­вҐаў « ¦Ё¤ ­Ёп ¤«п § Їаб .

7     *        *        *     ЏаҐўл襭 Ё­вҐаў « ¦Ё¤ ­Ёп ¤«п § Їаб .

8     *        *        *     ЏаҐўл襭 Ё­вҐаў « ¦Ё¤ ­Ёп ¤«п § Їаб .

и вот tracert провайдерского шлюза pf (172,26,62,1)

’а ббЁаўЄ  ¬ аиагв  Є 172.26.62.1 б ¬ ЄбЁ¬ «м­л¬ зЁб«¬ Їал¦Єў 30

1     1 ms    <1 ¬б    <1 ¬б  172.20.3.1

2    <1 ¬б    <1 ¬б    <1 ¬б  172.26.62.1

’а ббЁаўЄ  § ўҐа襭 .

zar0ku1

А можно посмотреть route print с компьютера, там winXP, как я понял?