Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    WAN & LAN вопрос как работает? (решено)

    Russian
    3
    11
    6.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      xtc
      last edited by

      Добрый день.

      на пример

      есть WAN - 212.11.11.2/24 gate-212.11.11.1 Статик IP
      и LAN - 192.168.0.1/24

      Если эти параметры я прописываю на PFSense то Интернет в локальной сети работает без проблем при этом мне не приходится запускать НАТ.

      Пробую на сервере ФриБСД также все прописать, и для того чтобы заработал Интернет в локальной сети мне приходится запускать НАТ.

      Как это реализовано на PFSense, может с каими ключами чтото сразу запускается? или еще как, что не приходится прописывать правил дополнительных в фаерволе, Подскажите? Каким образом там НАТятся  локальные сети?

      Заранее спасибо.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        Читал несколько раз пока понял..

        В pfSense есть такая волшебная штука как автоматический NAT (Nat Reflection). Если отключить в Advanced опциях, то волшебство исчезнет.
        Делайте в FreeBSD нормальный NAT и не переживайте, что чего-то упустили в жизни.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • X
          xtc
          last edited by

          @dvserg:

          Читал несколько раз пока понял..

          В pfSense есть такая волшебная штука как автоматический NAT (Nat Reflection). Если отключить в Advanced опциях, то волшебство исчезнет.
          Делайте в FreeBSD нормальный NAT и не переживайте, что чего-то упустили в жизни.

          Изменил первое сообщение -)

          Спаибо, все бы ничего но для работы НАТА на БСД мне приходится прописывать подобные правила в фаерволе.
          ${fwcmd} add 200 divert natd all from 192.168.0.0/24 to any out via em0
          ${fwcmd} add 201 divert natd all from any to 212.11.11.2 in via em0

          Но сервер БСД используется не только как роутер для локальной сети, а также как ВЕБ, Файл и ФТП сервер, и самое главное c IPSEC тунелями.
          До этого Интерент я получал через pppoe соединение, там НАТ включался тоже обычной опцией -nat. Работал и Интеренет в локалке и IPSEC тунели.

          Сейчас же при стаическом IP, в локалке Интернет работает при запуске НАТа и вроде подымаются IPSec тунели, но трафик внутри тунелей не хочет ходить, туда уходит а назад затыкается на правиле 202. если убираю правило 202, то Интерент в локалке отваливается (и это понятно веть из НАТа его не встречаю), зато IPSEC тунели начинают нормально работать.

          Вот поэтому я и спрашиваю, как на PFSense, на ВАНе реализован НАТ что не приходится дополнительно прописывать правил в фаерволе, как это сделано к примеру у pptp Клиента.

          1 Reply Last reply Reply Quote 0
          • X
            xtc
            last edited by

            Нашел такой файлик у PFSensa /tmp/rules.debug
            и там внутри

            Outbound NAT rules

            nat on $wan from 192.168.0.0/24 port 500 to any port 500 -> (em0) port 500
            nat on $wan from 192.168.0.0/24 port 5060 to any port 5060 -> (em0) port 5060
            nat on $wan from 192.168.0.0/24 to any -> (em0) port 1024:65535

            Это правила ведать и запускают по умолчанию всех в интерент.
            Мне надо чтото подобное сделать для IPFW и тоже миновать 500 UDP порт, по которому как рас и ходят IPSEC.
            так?

            1 Reply Last reply Reply Quote 0
            • D
              dvserg
              last edited by

              Да
              Только правила перед этим посмотрите - там еще исключения должны быть.

              SquidGuardDoc EN  RU Tutorial
              Localization ru_PFSense

              1 Reply Last reply Reply Quote 0
              • X
                xtc
                last edited by

                Спасибо, получилось вот таким образом

                ${fwcmd} add 200 divert natd all from 192.168.0.0/24 to any out via em0
                ${fwcmd} add 201 divert natd all from not IP_WAN_IPSEC_Удаленноготунеля_1 to 212.11.11.2 in via em0

                Вот только зайти теперь на IP_WAN_IPSEC_Удаленноготунеля_1 мне не получается, приходится заходить на IP_LAN_IPSEC_Удаленноготунеля_1  -)

                С други еще тунелем пока пробелма
                если я еще пишу
                ${fwcmd} add 202 divert natd all from not IP_WAN_IPSEC_Удаленноготунеля_2 to 212.11.11.2 in via em0

                то это правило уже не обрабатывается.
                а мне бы еще несколько IP адресов вписать как IP_WAN_IPSEC_Удаленноготунеля_1.

                Не подскажите как это можно сделать?

                1 Reply Last reply Reply Quote 0
                • X
                  xtc
                  last edited by

                  ipfw add 202 divert natd all from { not 212.ххх.ххх.59 or not 212.ххх.ххх.61 } to 212.ххх.хххх.6 in via em0

                  не помогает, может какой другой синтаксис надо использовать?

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by

                    По IPFW не подскажу. Любо PF only.

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • X
                      xtc
                      last edited by

                      @dvserg:

                      По IPFW не подскажу. Любо PF only.

                      Спасибо,

                      Решилось вот таким видом записи в правиле 201
                      ipfw add 201 divert natd in via em0 not src-ip 212.ххх.ххх.59 not src-ip 212.ххх.ххх.61 dst-ip 212.11.11.2

                      соответственно 212.ххх.ххх.59 и 212.ххх.ххх.61  ЭТО внешнии IP Роутеров удаленных офисов на PFSense где поднят IPSec и другое.

                      1 Reply Last reply Reply Quote 0
                      • E
                        Eugene
                        last edited by

                        Вопрос к FreeBSD гуру: можно на одной машине одновременно поиметь ipfw и pf?

                        http://ru.doc.pfsense.org

                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg
                          last edited by

                          @Eugene:

                          Вопрос к FreeBSD гуру: можно на одной машине одновременно поиметь ipfw и pf?

                          Гугл грит да
                          http://forum.nag.ru/forum/index.php?showtopic=20548

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.