Nat и pfSense-1.2.3-RELEASE-LiveCD-Installer.iso



  • Сделал чистую установку pfSense-1.2.3
    настроил lan и wan (pppoe)
    везде говорится что nat для lan включается по умолчанию
    правило само создалось, в nat отмечено Automatic outbound NAT rule generation (IPsec passthrough)
    но nat для клиентов так и не заработал

    поставил squid, через него клиенты интернет получают …

    но как все таки поднять nat так и не разобрался, подскажите где еще чего нужно подкрутить ...



  • включить галочку dns forwarder



  • @olv:

    Сделал чистую установку pfSense-1.2.3
    настроил lan и wan (pppoe)
    везде говорится что nat для lan включается по умолчанию
    правило само создалось, в nat отмечено Automatic outbound NAT rule generation (IPsec passthrough)
    но nat для клиентов так и не заработал

    поставил squid, через него клиенты интернет получают …

    но как все таки поднять nat так и не разобрался, подскажите где еще чего нужно подкрутить ...

    Хочу вас успокоить, если через сквид люди интернет получают - то нат поднялся

    стандартная проверка интернета
    с локальной машины
    nslookup ya.ru
    ping 8.8.8.8
    ping <шлюз провайдера>

    все покажите



  • @fox:

    включить галочку dns forwarder

    стоит … но dns forwarder вроде никакого отношения к nat не имеет



  • @zar0ku1:

    @olv:

    Сделал чистую установку pfSense-1.2.3
    настроил lan и wan (pppoe)
    везде говорится что nat для lan включается по умолчанию
    правило само создалось, в nat отмечено Automatic outbound NAT rule generation (IPsec passthrough)
    но nat для клиентов так и не заработал

    поставил squid, через него клиенты интернет получают …

    но как все таки поднять nat так и не разобрался, подскажите где еще чего нужно подкрутить ...

    Хочу вас успокоить, если через сквид люди интернет получают - то нат поднялся

    стандартная проверка интернета
    с локальной машины
    nslookup ya.ru
    ping 8.8.8.8
    ping <шлюз провайдера>

    все покажите

    через сквид инет раздается без ната…

    C:\Documents and Settings\Администратор>nslookup ya.ru
    Server:  pfSense.local
    Address:  169.254.0.30

    Non-authoritative answer:
    Name:    ya.ru
    Addresses:  93.158.134.8, 77.88.21.8, 213.180.204.8

    C:\Documents and Settings\Администратор>ping 169.254.0.30

    Обмен пакетами с 169.254.0.30 по с 32 байт данных:

    Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64
    Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64
    Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64
    Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64

    Статистика Ping для 169.254.0.30:
        Пакетов: отправлено = 4, получено = 4, потеряно = 0
        (0% потерь)
    Приблизительное время приема-передачи в мс:
        Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

    C:\Documents and Settings\Администратор>ping 8.8.8.8

    Обмен пакетами с 8.8.8.8 по с 32 байт данных:

    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.

    Статистика Ping для 8.8.8.8:
        Пакетов: отправлено = 4, получено = 0, потеряно = 4
        (100% потерь)

    с самого шлюза 169.254.0.30

    ping 8.8.8.8

    PING 8.8.8.8 (8.8.8.8): 56 data bytes
    64 bytes from 8.8.8.8: icmp_seq=0 ttl=241 time=94.513 ms
    64 bytes from 8.8.8.8: icmp_seq=1 ttl=241 time=94.289 ms
    64 bytes from 8.8.8.8: icmp_seq=2 ttl=241 time=92.619 ms
    ^C
    --- 8.8.8.8 ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 92.619/93.807/94.513/0.845 ms

    мой внешний ip адрес
    C:\Documents and Settings\Администратор>ping X.X.X.X

    Обмен пакетами с X.X.X.X по с 32 байт данных:

    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.
    Превышен интервал ожидания для запроса.

    Статистика Ping для X.X.X.X:
        Пакетов: отправлено = 4, получено = 0, потеряно = 4
        (100% потерь)

    тоже самое с пигом на шлюз провайдера для меня ...



  • @olv:

    через сквид инет раздается без ната…

    да ну, и кто же выполняет роль транслятора адресов локальной сети в глобальную и обратно?

    какие у вас интересный айпи адреса, а почему решили использовать автоконфигурентную сеть?

    покажите ifconfig -a шлюза

    покажите фаервол лан и ван интерфейсов



  • @zar0ku1:

    @olv:

    через сквид инет раздается без ната…

    да ну, и кто же выполняет роль транслятора адресов локальной сети в глобальную и обратно?

    какие у вас интересный айпи адреса, а почему решили использовать автоконфигурентную сеть?

    покажите ifconfig -a шлюза

    покажите фаервол лан и ван интерфейсов

    роль транслятора адресов локальной сети – при сквиде не нужен нат -- доступ к сети получается от самого прокси сервера, так как там установлено прямое соединение

    ifconfig -a

    sk0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
            options=b <rxcsum,txcsum,vlan_mtu>ether 00:11:95:ed:09:36
            media: Ethernet autoselect (none)
            status: no carrier
    vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
            options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:22:b0:e5:54:e3
            inet6 fe80::222:b0ff:fee5:54e3%vr0 prefixlen 64 scopeid 0x2
            media: Ethernet autoselect (100baseTX <full-duplex>)
            status: active
    re0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
            options=389b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic>ether 00:15:58:5b:3c:67
            inet6 fe80::215:58ff:fe5b:3c67%re0 prefixlen 64 scopeid 0x3
            inet 169.254.0.30 netmask 0xffff0000 broadcast 169.254.255.255
            media: Ethernet autoselect (1000baseTX <full-duplex>)
            status: active
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
            inet6 ::1 prefixlen 128
            inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
            inet 127.0.0.1 netmask 0xff000000
    enc0: flags=0<> metric 0 mtu 1536
    pfsync0: flags=41 <up,running>metric 0 mtu 1460
            pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
    pflog0: flags=100 <promisc>metric 0 mtu 33204
    ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492
            inet x.x.x.x --> xx.xx.xx.xx netmask 0xffffffff
            inet6 fe80::211:95ff:feed:936%ng0 prefixlen 64 scopeid 0x8

    ![Буфер обмена-1.jpg](/public/imported_attachments/1/Буфер обмена-1.jpg)
    ![Буфер обмена-1.jpg_thumb](/public/imported_attachments/1/Буфер обмена-1.jpg_thumb)
    ![Буфер обмена-2.jpg](/public/imported_attachments/1/Буфер обмена-2.jpg)
    ![Буфер обмена-2.jpg_thumb](/public/imported_attachments/1/Буфер обмена-2.jpg_thumb)</up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast></rxcsum,txcsum,vlan_mtu></broadcast,simplex,multicast>



    1. понял, squid у вас не прозрачный
    2. покажите```
      pfctl -sn | grep nat


  • @zar0ku1:

    1. понял, squid у вас не прозрачный
    2. покажите```
      pfctl -sn | grep nat

    понял, squid у вас не прозрачный - поидее если он будет прозрачный то должно работать - но это не выход…

    pfctl -sn | grep nat

    nat-anchor "pftpx/" all
    nat-anchor "natearly/
    " all
    nat-anchor "natrules/*" all
    nat on vr0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
    nat on ng0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
    nat on vr0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
    nat on ng0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
    nat on vr0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin
    nat on ng0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin

    поискав по форуму наткнулся на мысль что pfsense как то не так обрабатывает ng0 ...

    зы freebsd (точнее pfsense) поставил первый раз в жизни, до этого имел дело с debian, поэтому не знаю куда чего ткнуть!



  • Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
    Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

    И правда, а зачем была выбрана сеть 169.х.х.х?



  • @kadulin:

    Âî ïåðâûõ - âòîðîå ïðàâèëî â Lan íå íóæíî, ò.ê. ïåðâîå âñå èç ëîêàëüíîé ñåòè ðàçðåøàåò
    Âîò âòîðûõ - íà êëèåíòñêèõ êîìïüþòåðàõ êàêîé ñòîèò øëþç ïî óìîë÷àíèþ? ò.å. åñëè ó íèõ ñòîèò íå IP 169.254.0.30,  òî áåç ñêâèäà èíåò íå áóäåò ðàáîòàòü.

    È ïðàâëà, à çà÷åì áûëà âûáðàíà ñåòü 169.õ.õ.õ?

    что-то с кодировкой



  • @olv:

    что-то с кодировкой

    с кодировкой проблем нет

    цитирую:

    Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
    Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

    И правда, а зачем была выбрана сеть 169.х.х.х?



  • Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает

    это я для уверенности сделал …

    Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

    да шлюз 169,254,0,30

    И правда, а зачем была выбрана сеть 169.х.х.х?

    это так исторически сложилось …

    поставил pfSense-2.0-ALPHA-20091221-2130 таже ситуация, только еще + днс форвард толи не работает толи не подхватывает днс от пппое
    также попробовал на двух версиях менять конфиг ван с пппое на dhcp (пппое модем подымал) - никак не помогло ...



  • лень было искать, но все же нашел

    в ядре freebsd стоит запрет на форвард для автоконфигурентной сети, меняйте айпишки и все будет ок ;)
    не забывайте почитывать иногда RFC

    RFC 3927 (http://tools.ietf.org/html/rfc3927) пункт 2.6.2

    /* RFC 3927 2.7: Do not forward datagrams for 169.254.0.0/16\. */
    if (IN_LINKLOCAL(ntohl(ip->ip_dst.s_addr))) {
    ipstat.ips_cantforward++;
    m_freem(m);
    return;
    }
    

    Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16

    читать тут:
    инглиш http://www.faqs.org/rfcs/rfc1918.html
    рашн http://rfc2.ru/1918.rfc



  • @zar0ku1:

    Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16

    спасибо
    Вы оказались правы …
    сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса



  • @olv:

    спасибо
    Вы оказались правы …
    сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

    сколько машин?



  • @zar0ku1:

    @olv:

    спасибо
    Вы оказались правы …
    сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

    сколько машин?

    около 100 …
    но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
    немало софта привязано к ip адресам ... и тд и тп

    а можно вообще как нибудь вменяемо обойти это ограничение ...
    что в понятии pfsense значит Firewall: Virtual IP Addresses ?



  • Вот тоже немного про APIPA
    http://wiki.compowiki.info/ChtoTakoeAPIPA

    Следует иметь в виду, что компьютер с адресом, полученным от этой службы, не может связываться с компьютерами в другой подсети или выйти в Интернет. Поэтому ОС Windows XP выводит сообщение на иконке соединения в трее
    Состояние: Подключение ограничено или отсутствует.



  • @olv:

    около 100 …
    но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
    немало софта привязано к ip адресам ... и тд и тп

    а можно вообще как нибудь вменяемо обойти это ограничение ...
    что в понятии pfsense значит Firewall: Virtual IP Addresses ?

    чего-то я не понял, а как это работало до pfsense? что служило шлюзом?



  • @zar0ku1:

    @olv:

    около 100 …
    но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
    немало софта привязано к ip адресам ... и тд и тп

    а можно вообще как нибудь вменяемо обойти это ограничение ...
    что в понятии pfsense значит Firewall: Virtual IP Addresses ?

    чего-то я не понял, а как это работало до pfsense? что служило шлюзом?

    и счас служит debian …

    основная цель моего изучения pfSense является load balancing из коробки ...
    и что бы люди (в случае моего отсутствия) могли без меня разобраться хотя бы примерно (при помощи webGUI) что и где неработает

    все таки - можно ли как то интерфейсу lan назначить второй ip адрес?



  • @olv:

    все таки - можно ли как то интерфейсу lan назначить второй ip адрес?

    да можно, можно.. толку-то? NAT работает с адресами компов в LAN.. все-равно не пустит..



  • @rubic:

    @olv:

    все таки - можно ли как то интерфейсу lan назначить второй ip адрес?

    да можно, можно.. толку-то? NAT работает с адресами компов в LAN.. все-равно не пустит..

    как ? из консоли или средствами вебгуи …

    пробовал создать vlan на lan - как то непомогло



  • vlan не трогай.. - это дугое, юзай virtual ip



  • Столько обсуждали и никто не проголосовал -)



  • тут попался один документ http://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf в котором говорится что средствами гуи подобное можно будет сделать только в 1.3 … а так нужно ручками редактировать конфиг ...



  • @olv:

    тут попался один документ http://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf в котором говорится что средствами гуи подобное можно будет сделать только в 1.3 … а так нужно ручками редактировать конфиг ...

    1.3 переименован в 2.0, пробуйте снапшоты



  • спасибо всем за помощь, топик можно считать закрытым



  • @olv:

    спасибо всем за помощь, топик можно считать закрытым

    внизу есть кнопка lock topic ;)


Log in to reply