Новая тема   Ответить

 Dantist
Такой вопрос..
Есть ОпенВПН...
Настроенный.. Конектится нормально. Создается собственно Virtual Private Network.. У сервера - 10.8.0.1 у клиента - 10.8.0.2. Оба пингуются на ура.. Сервер по 10.8.0.1 - доступен... Весь траффик у клиента - роутится в ВПН-сеть.. (Шлюз - 10.8.0.1). А вот на сервере он не "выруливается" в инет )))
1. Как побороть?... ) Что на сервере сделать?.. IPNat?... Надо все из tun0 направить в bge0... Или по айпишнику как-то... За примеры был бы благодарен...
2. Можно ли на клиенте трафик роутить в ВПН только с определенного набора портов (ftp, http)?.. Чем это сделать?...

На сервере - FreeBSD 6.2..

Дамп ifconfiga сервера:
Код:

Всем кто по теме постит - +4/пост :-)
Заранее спасибо за помощь! (:

 color
да, добавляешь правило для роутинга трафа с серого айпишника клиента на белый IP сервера и все

 Dantist

Спасибо за ответ! :) +3. Я то в теории понимаю, что так... Мне бы на практике показать - что и как сделать... Как роутить траффик оттуда - туда.. В каких файлах хранится эта инфа... Вроде как еще что-то надо в rc.conf прописать, чтоб служба, которая роутит траффик запускалась автоматом (она сейчас не запущена)... В доке ОпенВПНа нашел просто команду для iptables, с выполнением которой траффик быстро начинает роутится куда надо, но iptables не под FreeBSD... :-) А играться с этим не зная, что получится в итоге - не хочется, ибо Оффтопик: Когда-то пытался IP на сервер добавить.. Через ifconfig.. Так повесил сервак на полчаса, пока не ребутнули.. :-) Больше не хочу

Спасибо!

 xreload
1) я делаю с помощью nat+ipfw, но если у тебя малый опыт в администрировании, то лучше попроси админа, т.к. действительно вероятность положить сервер велика
2) Нельзя насколько я знаю, если я правильно тебя понял.

 Salvator
ступил, потер

 DelGod
если я правильно понял у тебя freebsd, если да то делай это

В /etc/rc.conf:
firewall_enable="YES"
firewall_type="/etc/firewall.rc"
natd_enable="YES"
natd_flags="-a {IP сервака}"
gateway_enable="YES"

В /etc/firewall.rc:
-f flush
add pass all from any to any via lo0
add deny all from 127.0.0.1 to any
add deny all from any to 127.0.0.1
add divert natd all from 10.8.0.0/24 to any out via bge0
add divert natd all from any to {IP сервака} in via bge0

/etc/rc.d/ipfw start

только первый ип сервака не рекомендую прописывать как внешний "{IP сервака}"

 supphosting.com
И обязательно сделай копию оригинального rc.conf, чтобы если положишь сервак, в датацентре его легко и быстро подняли. )

 Dantist
DelGod за попытку получает +4 - Большое Спасибо! )
supphosting.com - за офигенный совет +3 )) Подняли быстро и fsck шустро сделали ))))

Хи-хи... В общем, как говорил мой научный руководитель - "отрицательный результат - тоже результат".. ))

Сервак повесил на ура... Повеслися он при старте ipfw.. Перед тем, как отвалился ssh, смог прочесть строчки, мол всего этого - firewall_enable,natd_enable,gateway_enable - нету... Но пошерстив опеннет понял, что DelGod дело говорит, и многое правильно сказал.. Вот только похоже у меня в ядре это все не включено :-(( Как включить - не знаю )) Но научусь, блин..

* Кто подскажет куда это писать и как пересобирать ядро?.. :-))) :
Код:
:-) Мои безграничные благодарности будут подарены сполна )))

И еще я понял, что перед тем, как работать удаленно, по ssh с ipfw Надо пустить
Код:
и если все ок, то успеть сделать
Код:
..
Может кто предложит что-то поэлегантнее?...
P.S. Правда если ipfw запустится, а лажа будет с правилами, и из-за этого ssh отвалится, то перезагрузка, как я понял - не поможет... )


P.S. Пора дедик для тестов купить... (:

 color
Dantist писал:
прописать в /usr/src/sys/i386/conf/GENERIC
компилить из папки /usr/src командой make buildkernel
устанавливать make installkernel

 Gourad
color писал:
Если uname -i выдаст что то отличающееся от GENERIC
то соответветственно редактировать тот файл конфигурации ядра который он выдаст, после собирать make buildkernel KERNCONF=имя_конфига инсталлить make installkernel KERNCONF=имя_конфига.

 DelGod
сорри, за ядро подумал что само собой разумеющееся =(
в ядре должно быть

options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_VERBOSE_LIMIT=10000 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPDIVERT


как собрать ядро тут http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/kernelconfig-building.html

 Dantist
Всем спасибо! Рейтинга накинул, куда копать - понял ))))

Обновил Через cvsup - /usr/src.. Скопировал GENERIC в DANTISTKERNEL :)) Вставил необходимые options..
Делаю buildkernel - сказал config не тот.. Заапдейтил...
Делаю опять - ошибка типа "unrecognized command line option "-Wno-pointer-sign"".. Шерстю инет - нужен gcc 4.X.. :-) Тепаем в /usr/ports/lang/gcc42/ .. Собираем...

Ухх.. Уже минут 20 собирается... :-)
Ладно, потом отпишу о резалтах, если ошибки будут какие.. :)

Всем еще раз спасибо!

Последний раз редактировалось: Dantist (13/09/07 в 18:02), всего редактировалось 1 раз

 Vinipux
Dantist писал:

надо
make buildkernel KERNCONF=DANTSITKERNEL
make installkernel KERNCONF=DANTSITKERNEL

 Dantist
Vinipux писал:
Ну эт я знаю, не в танке )))) Так и делаю.. ) Но для теста, перед тем как config и gcc апдейтить - попробовал собрать GENERIC тоже.. Не собрался )))

P.S. Хех.. gcc еще собирается... ) Динозавр однако.. )))

 Dantist
В общем gcc собрал, но инсталлить не стал.. :-(
Заменять 3ю ветку 4й... Когда некоторые порты требуют только 3й....
Не стал...

А ядро 4й требует.. :-(

Может кто знает, как в /etc/make.conf указывать какую версию gcc юзать?.. Директиву какую?.. +4 за подсказку! )))
Так можно было-бы ее только для сборки ядра включить, а потом оставить дефолтную, 3ю назад..

 color
а зачем 4я тебе? у меня 3.4.6 кажется стоит на всех серверах, все работает, ядра без проблем компилятся

 Dantist


У меня при компиляции даже GENERIC, вылазит:
"unrecognized command line option "-Wno-pointer-sign""
Погуглив понял, что у gcc 3.X - нет такой опции просто... :-(
Странно...

А так, в handbook прочел, что перед апдейтом ядра на FreeBSD нуно сделать #make buildworld
freebsd.org/doc/en_US.ISO8859-1/books/handbook/makeworld.html писал:

Мож поможет...

 xreload
Как я писал, попроси знающего админа сделать или у тебя увлекают занятие садомазахизмом?

p.s.
Ядро FreeBSD 6.2 без проблем собирается с gcc 3.x...

 Dantist
xreload писал:
Меня увлекает мысль, чтоб только я имел доступ к серваку... Уж совсем мне не хочется светить свои скрипты и базы левым людям... Разве-что админ все будет при мне делать в реале )))
* В добросовестность незнакомых мне людей - я не верю.. К сожалению.. :(

xreload писал:
Значит будем капать.. ))))
Как-никак опыт и обучение )))

 xreload
Dantist писал:

А у тебя сервер что в собственном ДЦ стоит ?Поверь мне, если левые люди захотят, то они посмотрят и так

Ну капай, как говорится хозяин - барин.

 Dantist
xreload писал:
ДЦ авторитетное ))) ДЦ - доверяю ))))

xreload писал:
Помогай, помогай ))))
"unrecognized command line option "-Wno-pointer-sign""
При компиляции ядра никогда не встречал?.. )

 xreload
стучи, может чем и помогу.

 color
http://www.bsdforums.org/forums/showthread.php?t=50786
попробуй сорсы обновить заново

 Pentarh
Вроде умные люди тут,а до сих пор используют каменный век типа натд и ипфв... Брр

 color

хм, а что ж еще использовать то? %)