https://slinkov.ru/openforum/vsluhforumID1/79536.html Здравствуйте. Я понимаю, что может задаю вопрос из разряда FAQ, но ответа самостоятельно найти не смог.<br>Конфигурация такая: FreeBSD 6.2, две сетевые карты. rl0 смотрит в мою сеть (10.1.0.0:255.255.255.0), rl1 - в сеть провайдера (192.168.2.1.0:255.255.255.0), через rl1 есть PPPoE соединение, через которое собственно и раздается интернет. Обе мои машины нормально видят и интернет, и провайдерскую сеть тех пор, пока есть PPPoE соединение. Если пропадает PPPoE соединение, провайдерская сеть тоже исчезает из виду, хотя шлюз продолжает ее видеть. ipfw show показывает нулевые счетчики для первого правила из rc.fw и наращивает счетчики для второго при попытке обратится к провайдерской сетке. Вопрос собственно, почему возникает описанная ситуация и как с ней бороться?<br><br>---------------------<br>rc.conf:<br>---------------------<br>natd_enable="YES"<br>natd_interface="rl1"<br>firewall_enable="YES"<br>firewall_script="/etc/rc.fw"<br>defaultrouter="192.168.2.1"<br><br>ppp_enable="YES"<br>ppp_mode="ddial"<br>ppp_nat="YES"<br>ppp_profile="home https://slinkov.ru/openforum/vsluhforumID1/79536.html#10 Mon, 31 Mar 2008 09:27:29 GMT &gt;&gt;ppp_nat="YES" - обратите внимание на эту опцию. <br>&gt;<br>&gt;С этого места поподробнее, пожалуйста. В handbook написано: "PPP has ability to <br>&gt;use internal NAT without kernel diverting capabilities." Как я понял нат <br>&gt;у PPP собственный, отношения к natd не имеет. <br><br> ну блин:<br><br> &gt;Хорошо, тогда почему при живом PPPoE соединении все работает? <br><br> ppp_nat="YES" - обратите внимание на эту опцию.<br><br> + локалка провайдера маршрутизируется через PPPoE, я уже писал об этом ниже.<br><br><br>&gt;<br>&gt;&gt;<br>&gt;&gt;Netgraph - это ядерный функционал, должен работать быстрее/эффективнее за счет того что <br>&gt;&gt;код работает на уровне ядра. <br>&gt;<br>&gt;Сам натить умеет или настраивать файрволом? <br><br>я не использую, точно сказать не могу, функционал нат (ng_nat) реализован совсем недавно.<br>Но, ИМХО, дополнительные настройки файрволла для реализации трансляции адресов при использовании MPD+ng_nat не требуются.<br><br> https://slinkov.ru/openforum/vsluhforumID1/79536.html#9 Mon, 31 Mar 2008 08:06:10 GMT &gt;ppp_nat="YES" - обратите внимание на эту опцию. <br><br>С этого места поподробнее, пожалуйста. В handbook написано: "PPP has ability to use internal NAT without kernel diverting capabilities." Как я понял нат у PPP собственный, отношения к natd не имеет.<br><br>&gt;<br>&gt;Netgraph - это ядерный функционал, должен работать быстрее/эффективнее за счет того что <br>&gt;код работает на уровне ядра. <br><br>Сам натить умеет или настраивать файрволом?<br> https://slinkov.ru/openforum/vsluhforumID1/79536.html#8 Mon, 31 Mar 2008 06:00:07 GMT &gt;&gt;Потому-что, по-видимому, вы недавно пользовались iptables, и хотите по его принципу сделать <br>&gt;&gt;тут. <br>&gt;<br>&gt;Я на FreeBSD пересел совсем недавно с Win2000+WinRoute попричине тормознутости данной связки <br>&gt;как шлюза, так и сервера печати. <br>&gt;<br>&gt;&gt;Пакет должен заворачиваться на натд как "в ту", так и "в обратную" <br>&gt;&gt;стороны. <br>&gt;<br>&gt;Хорошо, тогда почему при живом PPPoE соединении все работает? <br><br>ppp_nat="YES" - обратите внимание на эту опцию.<br><br>&gt;<br>&gt;&gt;ipfw add dvert natd all from any to &lt;rl1_natd_ip&gt; in via rl1<br>&gt;<br>&gt;Завтра попаду домой - попробую. <br>&gt;<br>&gt;По поводу mpd я чего-то не понял, зачем он мне, если в <br>&gt;pppd есть nat? <br><br>Netgraph - это ядерный функционал, должен работать быстрее/эффективнее за счет того что код работает на уровне ядра.<br><br><br>&gt;Nat на rl1 нужен, шлюз смотрит в три сети: мою, провайдера и <br>&gt;интернет. Или я чего-то непонял? <br><br>Все верно.<br> https://slinkov.ru/openforum/vsluhforumID1/79536.html#7 Mon, 31 Mar 2008 02:47:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;... <br>&gt;&gt;<br>&gt;&gt;Вы бы в исходное сообщение заглянули повнимательнее, а ? <br>&gt;<br>&gt;Цитирую: "Обе мои машины нормально видят и интернет, и провайдерскую сеть тех <br>&gt;пор, пока есть PPPoE соединение. Если пропадает PPPoE соединение, провайдерская сеть <br>&gt;тоже исчезает из виду, хотя шлюз продолжает ее видеть". <br>&gt;<br>&gt;Что из мною перечисленного подпадает под категорию "Вы бы в исходное сообщение <br>&gt;заглянули повнимательнее", и не соответствует действительности? Распишите дословно, а? <br><br>Цитирую и расписываю дословно:<br><br>ppp_enable="YES"<br>ppp_mode="ddial"<br>ppp_nat="YES"<br>^^^^^^^^^^^^^<br>ppp_profile="homelan"<br><br>PPPoE натится отдельно, rl1 в локальную сеть провайдера натит отдельно. Вполне разумные желания натить свою локальную сеть как в интернет, так и к внешней локальной сети.<br><br>&gt;&gt;&gt;Если вы используете PPPoE, то вешать nat на rl1 как минимум глупо.вешайте <br>&gt;&gt;&gt;на tun, что не столь коряво, либо пользуйте ppp_nat,<br><br>Так что (1) - глупости в этом нет, (2) ppp_nat уже используется.<br><br>&gt;&gt;&gt;Проблема в т https://slinkov.ru/openforum/vsluhforumID1/79536.html#6 Sun, 30 Mar 2008 18:40:13 GMT &gt;Потому-что, по-видимому, вы недавно пользовались iptables, и хотите по его принципу сделать <br>&gt;тут. <br><br>Я на FreeBSD пересел совсем недавно с Win2000+WinRoute попричине тормознутости данной связки как шлюза, так и сервера печати.<br><br>&gt;Пакет должен заворачиваться на натд как "в ту", так и "в обратную" <br>&gt;стороны. <br><br>Хорошо, тогда почему при живом PPPoE соединении все работает?<br><br>&gt;ipfw add dvert natd all from any to &lt;rl1_natd_ip&gt; in via rl1<br><br>Завтра попаду домой - попробую.<br><br>По поводу mpd я чего-то не понял, зачем он мне, если в pppd есть nat?<br>Nat на rl1 нужен, шлюз смотрит в три сети: мою, провайдера и интернет. Или я чего-то непонял?<br> https://slinkov.ru/openforum/vsluhforumID1/79536.html#5 Sun, 30 Mar 2008 18:33:02 GMT &gt;&gt;Если вы используете PPPoE, то вешать nat на rl1 как минимум глупо.вешайте <br>&gt;&gt;на tun, что не столь коряво, либо пользуйте ppp_nat,<br>&gt;<br>&gt;... <br>&gt;&gt;Проблема в том что у вас нат валиться как-только tun0 уходит в даун. Особенно если <br>&gt;&gt;повторно ppp сессия открывается на tunN (N&gt;0), а не tun0.<br>&gt;<br>&gt;Вы бы в исходное сообщение заглянули повнимательнее, а ? <br><br>Цитирую: "Обе мои машины нормально видят и интернет, и провайдерскую сеть тех пор, пока есть PPPoE соединение. Если пропадает PPPoE соединение, провайдерская сеть тоже исчезает из виду, хотя шлюз продолжает ее видеть".<br><br>Что из мною перечисленного подпадает под категорию "Вы бы в исходное сообщение заглянули повнимательнее", и не соответствует действительности? Распишите дословно, а?<br><br>&gt;<br>&gt;&gt;а еще лучше отказаться от poptop. И PPPoE организовать через mpd. Тогда вы <br>&gt;&gt;получите постоянный интерфейс, например ng0, на который смело можете вешать свой <br>&gt;&gt;nat. <br>&gt;&gt;Еще лучше повесить оный на IP, хотя тоже такая себе шаткая система <br>&gt;&gt;получиться, при условии что https://slinkov.ru/openforum/vsluhforumID1/79536.html#4 Sun, 30 Mar 2008 15:52:10 GMT &gt;Если вы используете PPPoE, то вешать nat на rl1 как минимум глупо.вешайте <br>&gt;на tun, что не столь коряво, либо пользуйте ppp_nat,<br><br>...<br>&gt;Проблема в том что у вас нат валиться как-только tun0 уходит в даун. Особенно если <br>&gt;повторно ppp сессия открывается на tunN (N&gt;0), а не tun0.<br><br>Вы бы в исходное сообщение заглянули повнимательнее, а ?<br><br>&gt;а еще лучше отказаться от poptop. И PPPoE организовать через mpd. Тогда вы <br>&gt;получите постоянный интерфейс, например ng0, на который смело можете вешать свой <br>&gt;nat. <br>&gt;Еще лучше повесить оный на IP, хотя тоже такая себе шаткая система <br>&gt;получиться, при условии что у вас динамически IP. <br><br>Если использовать мпд, то там есть встроенная поддержка ng_nat. <br>Можно нат вешать и на айпи, и никакой шаткости не будет, если использовать скрипты, вызываемые при установлении соединения.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/79536.html#3 Sun, 30 Mar 2008 12:06:35 GMT Если вы используете PPPoE, то вешать nat на rl1 как минимум глупо.вешайте на tun, что не столь коряво, либо пользуйте ppp_nat, а еще лучше отказаться от poptop. И PPPoE организовать через mpd. Тогда вы получите постоянный интерфейс, например ng0, на который смело можете вешать свой nat.<br>Еще лучше повесить оный на IP, хотя тоже такая себе шаткая система получиться, при условии что у вас динамически IP.<br>Проблема в том что у вас нат валиться как-только tun0 уходит в даун. Особенно если повторно ppp сессия открывается на tunN (N&gt;0), а не tun0.<br> https://slinkov.ru/openforum/vsluhforumID1/79536.html#2 Sun, 30 Mar 2008 06:21:57 GMT firewall_type="OPEN"<br><br>