Помогите с UDP трафиком через нат.

khersonec

Вобщем у меня проблемка. Шлюзом для меня стоит ПФсенс 1.2.3. Стабл, и трафик УДП пропускает с раза так с сотого. У меня много программ использует УДП, начиная с керио впн клиента заканчивая клиент баком и онлайн играми. Можно ли для УДП трафика указать правило в НАТе ? или какие еще есть варианты решения моей проблемы?

khersonec

Если быть точным то проблема с тунелированием по УДП портам. Тунельные соединения создаются с сотой попытки установить соединение.

Eugene

Я не понимаю проблемы, что такое туннельное соединение?

deutsche

патчкорд в технологическом туннеле

khersonec

Так что? Поможет кто? Я уже весь Гугль перешерстил и нигде ничего….

DasTieRR

@khersonec:

Так что? Поможет кто? Я уже весь Гугль перешерстил и нигде ничего….

Обязательно поможем, как только Вы опишите свою задачу более полно. Что, для чего, куда, что уже сделано и т.п.

zar0ku1

нат не натит UDP, я чего-то не понимаю

Eugene

@zar0ku1:

нат не натит UDP, я чего-то не понимаю

Ну… мы все тут чему-то учимся, я вот переписал определение туннельного соединения, данное deutsche и повесил на самом видном месте на работе - зубрю теперь -)

zar0ku1

@Evgeny:

Ну… мы все тут чему-то учимся, я вот переписал определение туннельного соединения, данное deutsche и повесил на самом видном месте на работе - зубрю теперь -)

ээээ, я чего-то не в теме этой шутки :)) а вообще я бы всем рекомендовал для прочтения

O'Reilly "TCP/IP. Сетевое администрирование" ну итд

khersonec

Проблема такова. Стоит шлюз на базе ПФ. Интернет шерстит аж гай шумит, но когда я внитри сети поставил клиент банк (который работает по промежутку УДП портов и если мне не изменяет память то UDP 32800-32901), Керио впн клиен (Тунельное ВПН соединение работает по портам UDP 4090 TCP 4090.) то обнаружил делемку, что у ПФ проблема с тунельными соединениями по протоколу УДП!!!!!!
Соединяет только с сотой попытки, правда бывает НО КРАЙНЕ РЕДКО и с 2 - 10. Как еще подробней описать проблему я не знаю!!

wiz111

tcpdump в помощ смотреть что на внешнем интерфейсе видно и что на внутреннем по интересующим сервисам, сдается мне тут в обратную сторону что-то летит, или ещё как вариант посмотрите кол-во стэйтов у пфа, если в сети торренты\скайпы и т.д. может просто забиваться таблица стейтов\канал, тогда увеличить таблицу\прижать страждущих, я б шел в этом направлении если в общем.

khersonec

Спасибо Wiz111. Буду пробовать.

khersonec

Спасибо еще раз. Вот теперь замануха в другом, как приоритезировать трафик ?

khersonec

Точнее как в шейпере указать приоритет с помощью PRIQ на порты которые не забиты в менеджере настройки?

deutsche

Скопируйте другую настройку и измените порт

spumer

Возможно поможет это:
в Firewall: NAT: Outbound поставь Manual Outbound
Главное удостоверься что там появится правило для твоей подсети, иначе добавь сам.