WAN & LAN вопрос как работает? (решено)

dvserg

Читал несколько раз пока понял..

В pfSense есть такая волшебная штука как автоматический NAT (Nat Reflection). Если отключить в Advanced опциях, то волшебство исчезнет.
Делайте в FreeBSD нормальный NAT и не переживайте, что чего-то упустили в жизни.

xtc

@dvserg:

Читал несколько раз пока понял..

В pfSense есть такая волшебная штука как автоматический NAT (Nat Reflection). Если отключить в Advanced опциях, то волшебство исчезнет.
Делайте в FreeBSD нормальный NAT и не переживайте, что чего-то упустили в жизни.

Изменил первое сообщение -)

Спаибо, все бы ничего но для работы НАТА на БСД мне приходится прописывать подобные правила в фаерволе.
${fwcmd} add 200 divert natd all from 192.168.0.0/24 to any out via em0
${fwcmd} add 201 divert natd all from any to 212.11.11.2 in via em0

Но сервер БСД используется не только как роутер для локальной сети, а также как ВЕБ, Файл и ФТП сервер, и самое главное c IPSEC тунелями.
До этого Интерент я получал через pppoe соединение, там НАТ включался тоже обычной опцией -nat. Работал и Интеренет в локалке и IPSEC тунели.

Сейчас же при стаическом IP, в локалке Интернет работает при запуске НАТа и вроде подымаются IPSec тунели, но трафик внутри тунелей не хочет ходить, туда уходит а назад затыкается на правиле 202. если убираю правило 202, то Интерент в локалке отваливается (и это понятно веть из НАТа его не встречаю), зато IPSEC тунели начинают нормально работать.

Вот поэтому я и спрашиваю, как на PFSense, на ВАНе реализован НАТ что не приходится дополнительно прописывать правил в фаерволе, как это сделано к примеру у pptp Клиента.

xtc

Нашел такой файлик у PFSensa /tmp/rules.debug
и там внутри

Outbound NAT rules

nat on $wan from 192.168.0.0/24 port 500 to any port 500 -> (em0) port 500
nat on $wan from 192.168.0.0/24 port 5060 to any port 5060 -> (em0) port 5060
nat on $wan from 192.168.0.0/24 to any -> (em0) port 1024:65535

Это правила ведать и запускают по умолчанию всех в интерент.
Мне надо чтото подобное сделать для IPFW и тоже миновать 500 UDP порт, по которому как рас и ходят IPSEC.
так?

dvserg

Да
Только правила перед этим посмотрите - там еще исключения должны быть.

xtc

Спасибо, получилось вот таким образом

${fwcmd} add 200 divert natd all from 192.168.0.0/24 to any out via em0
${fwcmd} add 201 divert natd all from not IP_WAN_IPSEC_Удаленноготунеля_1 to 212.11.11.2 in via em0

Вот только зайти теперь на IP_WAN_IPSEC_Удаленноготунеля_1 мне не получается, приходится заходить на IP_LAN_IPSEC_Удаленноготунеля_1  -)

С други еще тунелем пока пробелма
если я еще пишу
${fwcmd} add 202 divert natd all from not IP_WAN_IPSEC_Удаленноготунеля_2 to 212.11.11.2 in via em0

то это правило уже не обрабатывается.
а мне бы еще несколько IP адресов вписать как IP_WAN_IPSEC_Удаленноготунеля_1.

Не подскажите как это можно сделать?

xtc

ipfw add 202 divert natd all from { not 212.ххх.ххх.59 or not 212.ххх.ххх.61 } to 212.ххх.хххх.6 in via em0

не помогает, может какой другой синтаксис надо использовать?

dvserg

По IPFW не подскажу. Любо PF only.

xtc

@dvserg:

По IPFW не подскажу. Любо PF only.

Спасибо,

Решилось вот таким видом записи в правиле 201
ipfw add 201 divert natd in via em0 not src-ip 212.ххх.ххх.59 not src-ip 212.ххх.ххх.61 dst-ip 212.11.11.2

соответственно 212.ххх.ххх.59 и 212.ххх.ххх.61  ЭТО внешнии IP Роутеров удаленных офисов на PFSense где поднят IPSec и другое.

Eugene

Вопрос к FreeBSD гуру: можно на одной машине одновременно поиметь ipfw и pf?

dvserg

@Eugene:

Вопрос к FreeBSD гуру: можно на одной машине одновременно поиметь ipfw и pf?

Гугл грит да
http://forum.nag.ru/forum/index.php?showtopic=20548