https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html В двух офисах стоят шлюзы на FreeBSD9.2+pf+squid+mpd5<br>все работает отлично. На серверы mpd5 подключаются удаленные<br>клиенты человек 10.<br>Есть офис в нем лицензионный Usergate 5.4 можно сказать<br>работает, но иногда без видимых причин начинает<br>просидать по скорости пока не его перезапустишь или<br>вылетает с ошибкой Visual C++ и как всегда в самый<br>неудобный момент. Мне это надоело и я решил поставить<br>Freebsd9.2 как и в других офисах. Поставил FreeBSD9.2+pf+squid<br>настроил все по аналогии с другими офисами. Интернет стал работает ровнее и <br>быстрее. Но тут я столкнулся с такой проблемой пользователи в этом офисе <br>теперь не могут подключиться к vpn серверам mpd5, которые работают в двух<br>других офисах с клиентов vpn windows подключение pptp. <br>Зависает подключение на проверке имени и пароля пользователя<br>и вываливается в windows XP с ошибкой 619 в windows 7 с ошибкой 629.<br>Похоже как будто pf блокирует GRE. Но в pf по аналогии с другими офисами<br>стоит правило <br><br>pass quick inet proto gre from any to any keep https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#13 Mon, 16 Jun 2014 09:38:25 GMT &gt; Раньше у PF была проблема с GRE- не мог более одного коннекта <br>&gt; делать (freebsd 6.2) <br>&gt; Как теперь обстоят дела сказать не могу <br><br>Сейчас если PF разрешает прохождение GRE пакетов то соединений можно делать сколько угодно. На практике в разные стороны одновременно около 10 vpn соединений работает без проблем. Вот только правила как то странно срабатывают в PF для GRE. В одном офисе все работает без проблем с одним общим правилом<br><br>pass quick inet proto gre from any to any keep state<br><br>а в другом офисе работает тоже, только правила нужно описать более подробно, как показано выше не работает. <br>Например так<br>pass in $int_if inet proto gre from $lan_net to any keep state<br>pass out $ext_if inet proto gre from lan_net to any keep state<br><br>Вот с чем это связано не понимаю. И очень хочу это узнать. Не люблю работать, когда не до конца все понятно.<br>И еще не понятно, что означают появление данных сообщений в режиме отладки PF?<br><br>pf_map_addr: selected address 185.88.288.22<br><br><br>где 185.88.288.22 ip адрес внеш https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#12 Mon, 16 Jun 2014 09:37:14 GMT &gt; Раньше у PF была проблема с GRE- не мог более одного коннекта <br>&gt; делать (freebsd 6.2) <br>&gt; Как теперь обстоят дела сказать не могу <br><br>Сейчас если PF разрешает прохождение GRE пакетов то соединений можно делать сколько угодно. На практике в разные стороны одновременно около 10 vpn соединений работает без проблем. Вот только правила как то странно срабатывают в PF для GRE. В одном офисе все работает без проблем с одним общим правилом<br><br>pass quick inet proto gre from any to any keep state<br><br>а в другом офисе работает тоже, вот только правила нужно описать более подробно. <br>Например так<br>pass in $int_if inet proto gre from $lan_net to any keep state<br>pass out $ext_if inet proto gre from lan_net to any keep state<br><br>Вот с чем это связано не понимаю. И очень хочу это узнать. Не люблю работать, когда не до конца все понятно.<br>И еще не понятно что означают появление данных сообщений в режиме отладки PF<br><br>pf_map_addr: selected address 185.88.288.22<br><br><br>где 185.88.288.22 ip адрес внешней сетевой карты<br><br>pf: NAT https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#11 Mon, 16 Jun 2014 08:05:40 GMT &gt; И что правда никто не сталкивался c такими сообщениями? Что они означают? <br>&gt; [code]pf_map_addr: selected address 185.88.288.22[/code] <br>&gt; где 185.88.288.22 ip адрес внешней сетевой карты <br>&gt; [code]pf: NAT proxy port allocation (50001-65535) failed[/code] <br>&gt; Ничего по этим сообщения в интернете, я не нашел. Кроме англоязычного форума <br>&gt; в котором описан частный случай для решения которого вместо keep state <br>&gt; предлагают <br>&gt; использовать no state.<br><br>Раньше у PF была проблема с GRE- не мог более одного коннекта делать (freebsd 6.2)<br>Как теперь обстоят дела сказать не могу<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#10 Sun, 15 Jun 2014 11:28:19 GMT И что правда никто не сталкивался c такими сообщениями? Что они означают?<br><br>[code]pf_map_addr: selected address 185.88.288.22[/code]<br>где 185.88.288.22 ip адрес внешней сетевой карты<br>[code]pf: NAT proxy port allocation (50001-65535) failed[/code]<br>Ничего по этим сообщения в интернете, я не нашел. Кроме англоязычного форума в котором описан частный случай для решения которого вместо keep state предлагают <br>использовать no state.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#9 Sun, 15 Jun 2014 11:08:30 GMT Запустил я pf в режиме отладки и в логе messages стали сыпаться сообщения:<br>pf_map_addr: selected address 185.88.288.22<br>где 185.88.288.22 ip адрес внешней сетевой карты<br>pf: NAT proxy port allocation (50001-65535) failed<br>Ничего по этим сообщения в интернете я не нашел подскажите что это. <br><br>Канал подключения асимметричный 10 мбит закачка 2 мбит отдача. Может все проблемы отсюда идут?<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#8 Mon, 09 Jun 2014 14:28:12 GMT Ничего не помогло. Я сейчас вообще ничего не понимаю. Как только в правилах pf определяю политику<br>block in all<br>block out log all<br>или <br>block all<br>никакие правила фильтрации типа <br>pass quick inet proto gre from $lan_net to any keep state<br>или<br>pass out on $ext_if proto gre from $lan_net to any keep state<br>или <br>pass on { $int_if, $ext_if } proto gre to any keep state<br>Короче пиши как хочешь но gre нормально не проходит.<br>Причем pfctl -sr показывает<br>##############################################<br>scrub in all fragment reassemble<br>block drop all<br>pass quick inet proto tcp from any to any port = ntp flags S/SA keep state<br>pass quick inet proto tcp from any to any port = ssh flags S/SA keep state<br>pass quick inet proto tcp from any to any port = smtp flags S/SA keep state<br>pass quick inet proto tcp from any to any port = domain flags S/SA keep state<br>pass quick inet proto tcp from any to any port = http flags S/SA keep state<br>pass quick inet proto tcp from any to any port = https flags S/SA keep state<br>pass q https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#7 Thu, 22 May 2014 20:04:52 GMT &gt;&gt; Еще есть такой нюанс канал в этом офисе, от куда я подключаюсь <br>&gt;&gt; ассиметричный, на закачку 10Мбит на отдачу 2Мбит. Может в этом проблема.<br>&gt;&gt; Потому что когда я начинаю в ручную выставлять скорость подключения на <br>&gt;&gt; внешнем канале 10Мбит полудумлекс некоторое время подключения срабатываю, потом перестают <br>&gt;&gt; работать. Потом возвращаю в автомат может тоже подключиться а может и <br>&gt;&gt; не подключиться. Чаще нет. Но вот через UG подключения по VPN <br>&gt;&gt; работают как часы.<br>&gt; https://www.pfsense.org/ <br><br>https://doc.pfsense.org/index.php/PPTP_VPN<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#6 Thu, 22 May 2014 19:59:30 GMT &gt; Еще есть такой нюанс канал в этом офисе, от куда я подключаюсь <br>&gt; ассиметричный, на закачку 10Мбит на отдачу 2Мбит. Может в этом проблема. <br>&gt; Потому что когда я начинаю в ручную выставлять скорость подключения на <br>&gt; внешнем канале 10Мбит полудумлекс некоторое время подключения срабатываю, потом перестают <br>&gt; работать. Потом возвращаю в автомат может тоже подключиться а может и <br>&gt; не подключиться. Чаще нет. Но вот через UG подключения по VPN <br>&gt; работают как часы.<br><br>https://www.pfsense.org/<br> https://www.solaris.opennet.ru/openforum/vsluhforumID1/95617.html#5 Thu, 22 May 2014 19:44:05 GMT Еще есть такой нюанс канал в этом офисе, от куда я подключаюсь ассиметричный, на закачку 10Мбит на отдачу 2Мбит. Может в этом проблема. Потому что когда я начинаю в ручную выставлять скорость подключения на внешнем канале 10Мбит полудумлекс некоторое время подключения срабатываю, потом перестают работать. Потом возвращаю в автомат может тоже подключиться а может и не подключиться. Чаще нет. Но вот через UG подключения по VPN работают как часы. <br>