проброс GRE туннеля



  • имеем:

    | - - - - - - - - - - - - - - - - - - - - - - - |
    | сотрудник, которому надо      |
    | ходить во внутреннюю сеть  |
    |            10.10.11.0 / 24                |
    | - - - - - - - - - - - - - - - - - - - - - - - |
    | - - GRE туннель - 10.10.10.1 - - |
    | - - - - - - - - - - - - - - - - - - - - - - - |
    | - - - - - - - 98.98.98.98 - - - - - - - |
                              |
                              |
    | - - - - - - - - - - - - - - - - - - - - - - - |
    |    злой и страшный интернет  |
    | - - - - - - - - - - - - - - - - - - - - - - - |
                              |
    | - - - - - - - - - - - - - - - - - - - - - - - |
    | - конец втыкнутый у прова    |
    | - - - - - 99.99.99.253 / 28 - - - - - |
                              |
                              |
    | - - WAN - 99.99.99.249 / 28 - - -  |
    |                  pfsense                    |
    | - – LAN - 99.99.99.238 / 28 - - - |
                              |
                              |
    | - - - - - 99.99.99.229 / 28 - - - - - |
    |      billing он же шлюз в сети    |
    | - - - - - - - 172.16.0.253 - - - - - - |
    | - - - - - - - - - - - - - - - - - - - - - - - |
    | - - GRE туннель - 10.10.11.1 - - |
    | - - - - - - - - - - - - - - - - - - - - - - - |
                              |
                              |
    | - - - - - - - - - - - - - - - - - - - - - - - |
    |              какой-то switch            |
    | - - - - - - - - - - - - - - - - - - - - - - - |
                |                              |
    | - - - - - - - - - - - |      | - - - - - - - - - - - |
    | 172.16.0.0 / 16 |      | 10.10.11.0 / 24 |
    | - - - - - - - - - - - |      | - - - - - - - - - - - |
                                        |          |          |
                                  |-------|  |-------|  |-------|
                                  | - 1 - |  | - 2 - |  | - 3 - |
                                  |-------|  |-------|  |------

    = = = = = = = = = = = = = = = = = =
    = = = = = = = = = = = = = = = = = =

    есть такие правила:
    Firewall -> Rules -> LAN

    [отключено] TCP  WAN address  *  LAN net                  *            *                lan test ip_forward
    [отключено] * LAN net                 *       *                 *           *             Default LAN -> any
    [влючено]    * LAN net                 *    99.99.99.240/28 *   99.99.99.253   Make sure WAN_DMZ traffic goes to right interface
    [влючено но кабель отключен]    * LAN net                 * OPT1 net         *     192.168.1.1   Make sure OPT1_DMZ traffic goes to right interface
    [влючено но кабель отключен]    * LAN net                 * OPT2 net         *     192.168.0.1   Make sure OPT2_DMZ traffic goes to right interface
    [влючено] * LAN net * * * global_LB   Everything else gets shared out

    на других интерфейсах активных правил нет.

    туннели поднимаются следующими скриптами (взятыми из этой статьи)
    @туннель:

    #!/bin/sh
    tnl=tnl0
    remote=98.98.98.98
    local=99.99.99.229
    ip=10.10.11.1
    range=10.10.10.0/24
    modprobe ip_gre
    ip tunnel add $tnl mode gre local $local remote $remote ttl 255
    ip addr add $ip dev $tnl
    ip link set $tnl up
    ip route add $range dev $tnl
    ip link set $tnl mtu 1500

    @туннель:

    #!/bin/sh
    tnl=tnl0
    remote=99.99.99.229
    local=98.98.98.98
    ip=10.10.10.1
    range=10.10.11.0/24
    modprobe ip_gre
    ip tunnel add $tnl mode gre local $local remote $remote ttl 255
    ip addr add $ip dev $tnl
    ip link set $tnl up
    ip route add $range dev $tnl
    ip link set $tnl mtu 1500

    так как до этого времени в основном баловались детскими глупостями, возникает вопрос:

    как пробросить gre-туннель внутрь сети?
    ну или какие мысли - что почитать . . .

    сейчас извне не пингуется ни один интерфейс находящийся за 99.99.99.253
    писал какое-то правило (тут на форуме видел - что-то типа allow * from * to *), после которого мог пинговать 99.99.99.249, но на том увы все и закончилось.

    подскажите как это сделать
    спасибо



  • А на каких устройствах терминируется тоннель - ОС? и как тут pfSense учавствует?



  • уф, вчера в спешке под конец рабочего дня писалось сообщение.

    два компа:
    99.99.99.229 - Debian 5
    98.98.98.98 - не известно. возможо тоже будет debian, а может еще чего…

    сейчас тестируем "внутри" сети на двух одинаковых debian 5 (squeeze кажись):

    • один комп - ходит через основного провайдера и соответственно через pfsense. (если смотреть на "схему" - коннект снизу вверх);
    • другой комп в момент теста переключаем на резервный канал и получается, что идем со стороны интернета (сверху вниз).

    интересует, какое правило (или несколько) и на каком интерфейсе (или на каких) необходимо прописать, чтобы иметь возможность из интернета ковыряться только во внутренней сети 10.10.11.0/24.



  • @patryk:

    иметь возможность из интернета ковыряться только во внутренней сети 10.10.11.0/24.

    кто-нибудь понял задачу?



  • ну простите - бывает, вырывается иногда.  :(

    иметь всевозможный доступ к ресурсам сети 10.10.11.0/24 . . .



  • Да я не прос слова, я про содержание.
    GRE-тоннель то поднимается?



  • pfsense 1.2.3

    черт. сам не понял сначала, что мне надо.
    зациклился на GRE, в то время, как проблема вовсе не в нем.

    ситуация такая:

    [ сеть 172.16.0.0/16 ]
              |
              |
    [ 172.16.0.253 ]
    [ шлюз (NAT) ]
    [ 99.99.99.229/28 ]
              |
              |
    [ 99.99.99.238/28 LAN ]
    [ pfsense ]
    [ WAN 99.99.99.249/28 ]
              |
              |
    [ 99.99.99.253/28 интернет ]

    из сети в интернет выходим с адресом 99.99.99.249/28, т.е. на pfsense запросы проходят тоже через NAT.
    мне же надо сделать так, чтобы:

    1. адрес 99.99.99.229/28 не натился;
    2. работал интернет (см. ниже);
    3. можно было достучаться в получившуюся DMZ (99.99.99.224/28) из интернета.

    вот правила, которые есть в firewall`e:
    @Firewall::Rules::LAN:

    [отключено] *    LAN net                    *          *                    *              *                    Default LAN -> any
    [влючено]    *    LAN net                    *    99.99.99.240/28    *      99.99.99.253      Make sure WAN_DMZ traffic goes to right interface
    [влючено, но кабель не отключен]    *    LAN net                    *    OPT1 net            *        192.168.1.1        Make sure OPT1_DMZ traffic goes to right interface
    [влючено, но кабель не отключен]    *    LAN net                    *    OPT2 net            *        192.168.0.1        Make sure OPT2_DMZ traffic goes to right interface
    [влючено] *    LAN net    *    *    *    global_LB        Everything else gets shared out

    = = =

    из похожего прочитал вот эту тему.

    включил "Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))" в firewall::nat::outbound.
    появлялось правило

    Interface  	Source  	SPort  	Dest  	DPort  	NAT Address  	NAT Port  	Static Port  	Descrip
    WAN    	 99.99.99.224/28  	 *  	 *  	 *  	 *  	 *  	NO     [Auto created rule for LAN]
    

    но опять же - мне NAT на pfsense не нужен…

    после включения в правиле опции "No NAT (NOT)" пропадает интернет.
    т.е. судя по всему в firewall`e не хватает каких-то правил...

    если я в очередной раз чего "сморозил" - не пинайте... :(



  • Не надо ната? - удаляй нат-правило смело! ломать - не строить. Поверь, ната не будет.
    Однако, это не DMZ, а извращение какое-то (на мой скромный взгляд).


Log in to reply