WAN & LAN вопрос как работает? (решено)



  • Добрый день.

    на пример

    есть WAN - 212.11.11.2/24 gate-212.11.11.1 Статик IP
    и LAN - 192.168.0.1/24

    Если эти параметры я прописываю на PFSense то Интернет в локальной сети работает без проблем при этом мне не приходится запускать НАТ.

    Пробую на сервере ФриБСД также все прописать, и для того чтобы заработал Интернет в локальной сети мне приходится запускать НАТ.

    Как это реализовано на PFSense, может с каими ключами чтото сразу запускается? или еще как, что не приходится прописывать правил дополнительных в фаерволе, Подскажите? Каким образом там НАТятся  локальные сети?

    Заранее спасибо.



  • Читал несколько раз пока понял..

    В pfSense есть такая волшебная штука как автоматический NAT (Nat Reflection). Если отключить в Advanced опциях, то волшебство исчезнет.
    Делайте в FreeBSD нормальный NAT и не переживайте, что чего-то упустили в жизни.



  • @dvserg:

    Читал несколько раз пока понял..

    В pfSense есть такая волшебная штука как автоматический NAT (Nat Reflection). Если отключить в Advanced опциях, то волшебство исчезнет.
    Делайте в FreeBSD нормальный NAT и не переживайте, что чего-то упустили в жизни.

    Изменил первое сообщение -)

    Спаибо, все бы ничего но для работы НАТА на БСД мне приходится прописывать подобные правила в фаерволе.
    ${fwcmd} add 200 divert natd all from 192.168.0.0/24 to any out via em0
    ${fwcmd} add 201 divert natd all from any to 212.11.11.2 in via em0

    Но сервер БСД используется не только как роутер для локальной сети, а также как ВЕБ, Файл и ФТП сервер, и самое главное c IPSEC тунелями.
    До этого Интерент я получал через pppoe соединение, там НАТ включался тоже обычной опцией -nat. Работал и Интеренет в локалке и IPSEC тунели.

    Сейчас же при стаическом IP, в локалке Интернет работает при запуске НАТа и вроде подымаются IPSec тунели, но трафик внутри тунелей не хочет ходить, туда уходит а назад затыкается на правиле 202. если убираю правило 202, то Интерент в локалке отваливается (и это понятно веть из НАТа его не встречаю), зато IPSEC тунели начинают нормально работать.

    Вот поэтому я и спрашиваю, как на PFSense, на ВАНе реализован НАТ что не приходится дополнительно прописывать правил в фаерволе, как это сделано к примеру у pptp Клиента.



  • Нашел такой файлик у PFSensa /tmp/rules.debug
    и там внутри

    Outbound NAT rules

    nat on $wan from 192.168.0.0/24 port 500 to any port 500 -> (em0) port 500
    nat on $wan from 192.168.0.0/24 port 5060 to any port 5060 -> (em0) port 5060
    nat on $wan from 192.168.0.0/24 to any -> (em0) port 1024:65535

    Это правила ведать и запускают по умолчанию всех в интерент.
    Мне надо чтото подобное сделать для IPFW и тоже миновать 500 UDP порт, по которому как рас и ходят IPSEC.
    так?



  • Да
    Только правила перед этим посмотрите - там еще исключения должны быть.



  • Спасибо, получилось вот таким образом

    ${fwcmd} add 200 divert natd all from 192.168.0.0/24 to any out via em0
    ${fwcmd} add 201 divert natd all from not IP_WAN_IPSEC_Удаленноготунеля_1 to 212.11.11.2 in via em0

    Вот только зайти теперь на IP_WAN_IPSEC_Удаленноготунеля_1 мне не получается, приходится заходить на IP_LAN_IPSEC_Удаленноготунеля_1  -)

    С други еще тунелем пока пробелма
    если я еще пишу
    ${fwcmd} add 202 divert natd all from not IP_WAN_IPSEC_Удаленноготунеля_2 to 212.11.11.2 in via em0

    то это правило уже не обрабатывается.
    а мне бы еще несколько IP адресов вписать как IP_WAN_IPSEC_Удаленноготунеля_1.

    Не подскажите как это можно сделать?



  • ipfw add 202 divert natd all from { not 212.ххх.ххх.59 or not 212.ххх.ххх.61 } to 212.ххх.хххх.6 in via em0

    не помогает, может какой другой синтаксис надо использовать?



  • По IPFW не подскажу. Любо PF only.



  • @dvserg:

    По IPFW не подскажу. Любо PF only.

    Спасибо,

    Решилось вот таким видом записи в правиле 201
    ipfw add 201 divert natd in via em0 not src-ip 212.ххх.ххх.59 not src-ip 212.ххх.ххх.61 dst-ip 212.11.11.2

    соответственно 212.ххх.ххх.59 и 212.ххх.ххх.61  ЭТО внешнии IP Роутеров удаленных офисов на PFSense где поднят IPSec и другое.



  • Вопрос к FreeBSD гуру: можно на одной машине одновременно поиметь ipfw и pf?



  • @Eugene:

    Вопрос к FreeBSD гуру: можно на одной машине одновременно поиметь ipfw и pf?

    Гугл грит да
    http://forum.nag.ru/forum/index.php?showtopic=20548


Log in to reply