(РЕШЕНО)Отваливается статический маршрут



  • Со временем (обычно на следующие сутки) отваливается статический маршрут в VPN PPTP туннель?
    Т.е. на странице System: Static Routes он как бы присутствует, но делаю трассировку и вижу, что пакеты уходят не в VPN туннель, а в локальную сеть провайдера. Что делать?

    На скрине - это две нижних строчки.

    Я пробовал и название интерфейсов иенять (WAN, PPTP) - все одно и то же.
    Помогите разобраться.



  • мне думается надо каждый маршрут отдельный туннель, плюс ко всему последняя в списке запись неправильная. шлюз должен принадлежать подсетке обьявленной на интерфейсе.



  • @izuware:

    мне думается надо каждый маршрут отдельный туннель

    что вы здесь имеете в виду?
    @izuware:

    плюс ко всему последняя в списке запись неправильная. шлюз должен принадлежать подсетке обьявленной на интерфейсе.

    то есть если у меня интерфейс имеет ip 172.26.62.5/24, то диапазон ip vpn-клиентов должен быть 172.26.62.192/28 ?
    а что если у провайдера вся подсеть 172.26.62.0 используется?

    добавлено:

    я правильно понимаю, что ip vpn клиентов - это и есть шлюзы в удаленные подсетки?



  • рисуй уже схему, кто клиент кто сервер, как к провайдеру и тд… 
    какой давать клиенту ИП решать исходя из задачи, если клиенты коннектятся извне к вам для того чтобы подключить свои сети то проще им выдать по ИП из 1.1.1.0/24 и на эти адреса написать маршруты, а ещё лучше поднять опенвпн он сам умеет следить за маршрутами.

    OpenVPN: Server
    
       Server     	   Client     	   Client-specific configuration    
    
    Disabled	Protocol	Address pool	Description
    ...	
    No 	UDP 	1.2.1.1/30 	B12 	
    No 	UDP 	1.2.1.5/30 	r09	
    No 	UDP 	1.2.1.9/30 	C56 	
    No 	UDP 	1.2.1.13/30 	Bal0 	
    ...
    
    


  • передел ip vpn клиентов. а то они (адреса) как бы принадлежали одной из конторских подсеток
    сейчас вот такая схема сети:

    System: Static Rout es

    WAN 172.16.0.0/12  172.26.62.1

    WAN 192.168.1.0/24 192.168.22.194

    WAN 192.168.2.0/24 192.168.22.193



  • Прихожу с утра, маршруты в 192.168.1.0 и в 192.168.2.0 не работают :(. Приходится обновлять маршрутизацию (Edit->Apply changes)
    Подумал, если клиентов VPN делать в подсети интерфейса, то по первому статическому маршруту пакеты сразу и без вариантов будут уходить в подсеть провайдера.
    Дайте добрый совет.



  • Можно ли на pfSense скрипт какой-нибудь сделать чтобы он прописывал (обновлял) маршруты хотя бы раз в три часа?



  • Есть фишка в правилах -  шедулер. Попробуйте сделать несколько одинаковых правил и настроить разное время действия, чтобы правила автоматически перечитывались.
    Либо сделайте скрипт для перечитывания правил (файл с правилами /tmp/rules.debug) и засуньте задание в крон.
    Крон доступен в пакетах.

    Зы костыль, но что делать?



  • дык мне наверное маршруты надо передергивать, они в каком файле живут?



  • Раз в три часа как-то совсем сурово. Накатай скриптец, который раз в минуту проверяет пингом соответствующий gateway, если он доступен то скрипт вставляет маршрут. Хуже от этого pfSense'у не будет точно.



  • Подскажите, где в pfSense (FreeBSD) находится файл с маршрутами. Я его хочу засунуть в cron.



  • @garald50:

    Прихожу с утра, маршруты в 192.168.1.0 и в 192.168.2.0 не работают :(. Приходится обновлять маршрутизацию (Edit->Apply changes)
    Подумал, если клиентов VPN делать в подсети интерфейса, то по первому статическому маршруту пакеты сразу и без вариантов будут уходить в подсеть провайдера.
    Дайте добрый совет.

    с рисунком понятнее:
    для не умирания маршрутов можно делать так :
    даём PPTP клиентам адрес из локальной сетки например 192.168.0.201 на него статический маршрут для 192.168.1.0
    второму клиенту например 192.168.0.202 на него статический маршрут для 192.168.2.0 и тд …
    непонятно зачем у VPN маска /28 . Маршруты могут пропадать изза реконнекта PPTP тут надо смотреть файлик типа /etc/ppp/ip-up где он лежит в PfSense я не в курсе, знающие подскажут. Туда прописать  route add 192.168.1.0 netmask 255.255.255.0 192.168.22.194 . Соответсвенно в  /etc/ppp/ip-down  route delete 192.168.1.0



  • @izuware:

    для не умирания маршрутов можно делать так :
    даём PPTP клиентам адрес из локальной сетки например 192.168.0.201 на него статический маршрут для 192.168.1.0
    второму клиенту например 192.168.0.202 на него статический маршрут для 192.168.2.0 и тд …

    сделал так.
    все равно маршруты отваливаются. может все-таки кроном?

    @garald50:

    Подскажите, где в pfSense (FreeBSD) находится файл с маршрутами. Я его хочу засунуть в cron.



  • /usr/local/etc/rc.d/route_upd  (! БЕЗ окончания .sh !) разрешение 755

    #!/usr/local/bin/php -f
    require("guiconfig.inc");
    system_routing_configure();
    # filter_configure();
    
    ?>
    


  • Что такое "разрешение 755"???



  • @garald50:

    Что такое "разрешение 755"???

    http://ru.wikipedia.org/wiki/Chmod



  • сделал в putty:

    chmod 755 /usr/local/etc/rc.d/route_upd

    даю затем команду:

    /usr/local/etc/rc.d/route_upd

    получаю ответ:

    You must enter valid credentials to access this resource.

    Где надо писать credentials to access?



  • покажите вывод команды
    ls -all /usr/local/etc/rc.d/route_upd



  • ls -all /usr/local/etc/rc.d/route_upd

    -rwxr-xr-x  1 root  wheel  109 May  4 12:32 /usr/local/etc/rc.d/route_upd



  • Попробуй так:
    /usr/local/etc/rc.d/route_upd разрешение 755

    
    #!/usr/local/bin/php -f
    require("system.inc");
    system_routing_configure();
    ?>
    


  • Вот так

    #!/usr/local/bin/php -f
    require_once("util.inc");
    require_once("system.inc");
    system_routing_configure();
    
    ?>
    

    ;D Почти рядом. Только util.inc нужен для exec_command() в (v.2.0)



  • вот это

    #!/usr/local/bin/php -f
    require_once("util.inc");
    require_once("system.inc");
    system_routing_configure();

    ?>

    выполнилось и маршруты "передернулись"

    dvserg,
    я не понял, этот вариант для версии v2.0 или v1.2.3?
    у меня pf 1.2.3.



  • К любой, просто у меня без второго инклюда на 2,0 запросил функцию.



  • @garald50:

    Что такое "разрешение 755"???

    chmod 755 /usr/local/etc/rc.d/route_upd


Locked