Nat и pfSense-1.2.3-RELEASE-LiveCD-Installer.iso

olv

Сделал чистую установку pfSense-1.2.3
настроил lan и wan (pppoe)
везде говорится что nat для lan включается по умолчанию
правило само создалось, в nat отмечено Automatic outbound NAT rule generation (IPsec passthrough)
но nat для клиентов так и не заработал

поставил squid, через него клиенты интернет получают …

но как все таки поднять nat так и не разобрался, подскажите где еще чего нужно подкрутить ...

fox

включить галочку dns forwarder

zar0ku1

@olv:

Сделал чистую установку pfSense-1.2.3
настроил lan и wan (pppoe)
везде говорится что nat для lan включается по умолчанию
правило само создалось, в nat отмечено Automatic outbound NAT rule generation (IPsec passthrough)
но nat для клиентов так и не заработал

поставил squid, через него клиенты интернет получают …

но как все таки поднять nat так и не разобрался, подскажите где еще чего нужно подкрутить ...

Хочу вас успокоить, если через сквид люди интернет получают - то нат поднялся

стандартная проверка интернета
с локальной машины
nslookup ya.ru
ping 8.8.8.8
ping <шлюз провайдера>

все покажите

olv

@fox:

включить галочку dns forwarder

стоит … но dns forwarder вроде никакого отношения к nat не имеет

olv

@zar0ku1:

@olv:

Сделал чистую установку pfSense-1.2.3
настроил lan и wan (pppoe)
везде говорится что nat для lan включается по умолчанию
правило само создалось, в nat отмечено Automatic outbound NAT rule generation (IPsec passthrough)
но nat для клиентов так и не заработал

поставил squid, через него клиенты интернет получают …

но как все таки поднять nat так и не разобрался, подскажите где еще чего нужно подкрутить ...

Хочу вас успокоить, если через сквид люди интернет получают - то нат поднялся

стандартная проверка интернета
с локальной машины
nslookup ya.ru
ping 8.8.8.8
ping <шлюз провайдера>

все покажите

через сквид инет раздается без ната…

C:\Documents and Settings\Администратор>nslookup ya.ru
Server:  pfSense.local
Address:  169.254.0.30

Non-authoritative answer:
Name:    ya.ru
Addresses:  93.158.134.8, 77.88.21.8, 213.180.204.8

C:\Documents and Settings\Администратор>ping 169.254.0.30

Обмен пакетами с 169.254.0.30 по с 32 байт данных:

Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64
Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64
Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64
Ответ от 169.254.0.30: число байт=32 время<1мс TTL=64

Статистика Ping для 169.254.0.30:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\Documents and Settings\Администратор>ping 8.8.8.8

Обмен пакетами с 8.8.8.8 по с 32 байт данных:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 8.8.8.8:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

с самого шлюза 169.254.0.30

ping 8.8.8.8

PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=241 time=94.513 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=241 time=94.289 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=241 time=92.619 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 92.619/93.807/94.513/0.845 ms

мой внешний ip адрес
C:\Documents and Settings\Администратор>ping X.X.X.X

Обмен пакетами с X.X.X.X по с 32 байт данных:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для X.X.X.X:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

тоже самое с пигом на шлюз провайдера для меня ...

zar0ku1

@olv:

через сквид инет раздается без ната…

да ну, и кто же выполняет роль транслятора адресов локальной сети в глобальную и обратно?

какие у вас интересный айпи адреса, а почему решили использовать автоконфигурентную сеть?

покажите ifconfig -a шлюза

покажите фаервол лан и ван интерфейсов

olv

@zar0ku1:

@olv:

через сквид инет раздается без ната…

да ну, и кто же выполняет роль транслятора адресов локальной сети в глобальную и обратно?

какие у вас интересный айпи адреса, а почему решили использовать автоконфигурентную сеть?

покажите ifconfig -a шлюза

покажите фаервол лан и ван интерфейсов

роль транслятора адресов локальной сети – при сквиде не нужен нат -- доступ к сети получается от самого прокси сервера, так как там установлено прямое соединение

ifconfig -a

sk0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
        options=b <rxcsum,txcsum,vlan_mtu>ether 00:11:95:ed:09:36
        media: Ethernet autoselect (none)
        status: no carrier
vr0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=2808 <vlan_mtu,wol_ucast,wol_magic>ether 00:22:b0:e5:54:e3
        inet6 fe80::222:b0ff:fee5:54e3%vr0 prefixlen 64 scopeid 0x2
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
re0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=389b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic>ether 00:15:58:5b:3c:67
        inet6 fe80::215:58ff:fe5b:3c67%re0 prefixlen 64 scopeid 0x3
        inet 169.254.0.30 netmask 0xffff0000 broadcast 169.254.255.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet 127.0.0.1 netmask 0xff000000
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
        pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=100 <promisc>metric 0 mtu 33204
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492
        inet x.x.x.x --> xx.xx.xx.xx netmask 0xffffffff
        inet6 fe80::211:95ff:feed:936%ng0 prefixlen 64 scopeid 0x8

</up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu,wol_ucast,wol_magic></up,broadcast,running,simplex,multicast></rxcsum,txcsum,vlan_mtu></broadcast,simplex,multicast>

zar0ku1

1. понял, squid у вас не прозрачный
2. покажите```
   pfctl -sn | grep nat

olv

@zar0ku1:

1. понял, squid у вас не прозрачный
2. покажите```
   pfctl -sn | grep nat

понял, squid у вас не прозрачный - поидее если он будет прозрачный то должно работать - но это не выход…

pfctl -sn | grep nat

nat-anchor "pftpx/" all
nat-anchor "natearly/" all
nat-anchor "natrules/*" all
nat on vr0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on ng0 inet from 169.254.0.0/16 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on vr0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on ng0 inet from 169.254.0.0/16 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on vr0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin
nat on ng0 inet from 169.254.0.0/16 to any -> (ng0) port 1024:65535 round-robin

поискав по форуму наткнулся на мысль что pfsense как то не так обрабатывает ng0 ...

зы freebsd (точнее pfsense) поставил первый раз в жизни, до этого имел дело с debian, поэтому не знаю куда чего ткнуть!

kadulin

Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

И правда, а зачем была выбрана сеть 169.х.х.х?

olv

@kadulin:

Âî ïåðâûõ - âòîðîå ïðàâèëî â Lan íå íóæíî, ò.ê. ïåðâîå âñå èç ëîêàëüíîé ñåòè ðàçðåøàåò
Âîò âòîðûõ - íà êëèåíòñêèõ êîìïüþòåðàõ êàêîé ñòîèò øëþç ïî óìîë÷àíèþ? ò.å. åñëè ó íèõ ñòîèò íå IP 169.254.0.30,  òî áåç ñêâèäà èíåò íå áóäåò ðàáîòàòü.

È ïðàâëà, à çà÷åì áûëà âûáðàíà ñåòü 169.õ.õ.õ?

что-то с кодировкой

zar0ku1

@olv:

что-то с кодировкой

с кодировкой проблем нет

цитирую:

Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает
Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

И правда, а зачем была выбрана сеть 169.х.х.х?

olv

Во первых - второе правило в Lan не нужно, т.к. первое все из локальной сети разрешает

это я для уверенности сделал …

Вот вторых - на клиентских компьютерах какой стоит шлюз по умолчанию? т.е. если у них стоит не IP 169.254.0.30,  то без сквида инет не будет работать.

да шлюз 169,254,0,30

И правда, а зачем была выбрана сеть 169.х.х.х?

это так исторически сложилось …

поставил pfSense-2.0-ALPHA-20091221-2130 таже ситуация, только еще + днс форвард толи не работает толи не подхватывает днс от пппое
также попробовал на двух версиях менять конфиг ван с пппое на dhcp (пппое модем подымал) - никак не помогло ...

zar0ku1

лень было искать, но все же нашел

в ядре freebsd стоит запрет на форвард для автоконфигурентной сети, меняйте айпишки и все будет ок ;)
не забывайте почитывать иногда RFC

RFC 3927 (http://tools.ietf.org/html/rfc3927) пункт 2.6.2

/* RFC 3927 2.7: Do not forward datagrams for 169.254.0.0/16\. */
if (IN_LINKLOCAL(ntohl(ip->ip_dst.s_addr))) {
ipstat.ips_cantforward++;
m_freem(m);
return;
}

Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

читать тут:
инглиш http://www.faqs.org/rfcs/rfc1918.html
рашн http://rfc2.ru/1918.rfc

olv

@zar0ku1:

Вы имеете право для своих подсетей использоваться только Private-Use Networks (RFC1918) к коим относится:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

zar0ku1

@olv:

спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

сколько машин?

olv

@zar0ku1:

@olv:

спасибо
Вы оказались правы …
сеть досталась в наследство ... так что пока даже не знаю как подступиться к разрешению этого вопроса

сколько машин?

около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тп

а можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?

dvserg

Вот тоже немного про APIPA
http://wiki.compowiki.info/ChtoTakoeAPIPA

Следует иметь в виду, что компьютер с адресом, полученным от этой службы, не может связываться с компьютерами в другой подсети или выйти в Интернет. Поэтому ОС Windows XP выводит сообщение на иконке соединения в трее
Состояние: Подключение ограничено или отсутствует.

zar0ku1

@olv:

около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тп

а можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?

чего-то я не понял, а как это работало до pfsense? что служило шлюзом?

olv

@zar0ku1:

@olv:

около 100 …
но если бы все просто касалось только смены ip адрес уже бы давно было все сделано,
немало софта привязано к ip адресам ... и тд и тп

а можно вообще как нибудь вменяемо обойти это ограничение ...
что в понятии pfsense значит Firewall: Virtual IP Addresses ?

чего-то я не понял, а как это работало до pfsense? что служило шлюзом?

и счас служит debian …

основная цель моего изучения pfSense является load balancing из коробки ...
и что бы люди (в случае моего отсутствия) могли без меня разобраться хотя бы примерно (при помощи webGUI) что и где неработает

все таки - можно ли как то интерфейсу lan назначить второй ip адрес?