Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
A conexão é bem estável, quanto a isso fico mais tranquilo. Quanto a MTU eu uso em um cliente o openvpn com TCP e não tive que fazer nenhum ajuste, acho que funcionará bem. Vou deixar pra mexer na segunda... Obrigado mais uma vez. Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Saturday, October 04, 2008 10:03 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/4/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fica bem estranho manter dois confs... e como fazer isso no rc.conf? > carregar na mão via rc.local não gosto muito! Então, você teria que mudar algumas coisas, se não me engano o openvpn é iniciado por um script no /usr/local/etc/rc.d, copie ele com outro nome (openvpn2) e altere o script para buscar variáveis com outros nomes e use essas variáveis dentro do rc.conf também. > > Vou alterar o protocolo para TCP e ver como se comporta. > > Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, > os pacotes são mínimos (2 ou 3kb). > > Alguns dos clientes da VPN usam replicação... o volume de dados é bem > grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não > terei problemas. É só a performance que é menor ou você tem problemas com a conexão tb ? Em alguns casos é necessário ajustar o MTU da conexão do openvpn. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o > cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn > para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/3/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Deve ser algo no UDP mesmo. > > Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, > fiz a alteração na conf também para tcp... tentei acessar nos dois ips e > funfou perfeito > > Mesma regra do firewall, só alterei o de udp para tcp. > > Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado > amanhã, não quero receber ligação amanhã no feriado (-: > > Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para > tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Vale, obrigado! Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 7:40 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 > 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > De manhã eu havia enviado... mas mandei novamente no pvt. > > > Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni host - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
De manhã eu havia enviado... mas mandei novamente no pvt. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 6:28 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? > > Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? Poste o trecho do pf.conf que faz o reply por favor. Welkson - Original Message - From: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 11:36 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Com esse pass in você não está LIBERANDO TUDO? Eu uso o pass in, mas especifico somente a porta que quero liberar. Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é f... welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 8:35 AM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) A minha configuracao funcionou. Tanto UDP quanto TCP. Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede DMZ. Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ. ficou td +- assim : route0="(" $ext_if0 $router0 ")" route1="(" $ext_if1 $router1 ")" rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0 keep state pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1 keep state #The reply-to option is similar to route-to, but routes packets that #pass in the ***opposite*** direction (replies) to the specified inter- #face. pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep state pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep state pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any basicamento o segredo estava na direcao da regra da interface dmz. na configuracao anterior anterior eu estava coloando "pass in". valeu ...! - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Com esse pass in você não está LIBERANDO TUDO? Eu uso o pass in, mas especifico somente a porta que quero liberar. Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é f... welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Thursday, October 02, 2008 8:35 AM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) A minha configuracao funcionou. Tanto UDP quanto TCP. Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede DMZ. Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ. ficou td +- assim : route0="(" $ext_if0 $router0 ")" route1="(" $ext_if1 $router1 ")" rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag ROUTE0 -> $web_server rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag ROUTE1 -> $web_server pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to $ext_ip0 keep state pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to $ext_ip1 keep state #The reply-to option is similar to route-to, but routes packets that #pass in the ***opposite*** direction (replies) to the specified inter- #face. pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0 keep state pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1 keep state pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any basicamento o segredo estava na direcao da regra da interface dmz. na configuracao anterior anterior eu estava coloando "pass in". valeu ...! - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um > exemplo com udp, porque aqui não funciona nem a pau... =) > > Coloca xxx nos ips em produção. > > Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para > udp, e de 65517 para 1194 > > # tcp que funciona > > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to > > any port 65517 keep state > > # udp que NAO funciona > pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to > any port 1194 keep state > Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um exemplo com udp, porque aqui não funciona nem a pau... =) Coloca xxx nos ips em produção. Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para udp, e de 65517 para 1194 # tcp que funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 65517 keep state # udp que NAO funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state Manda as regras. Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 5:03 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Cria o "estado" mas não funfa o reply-to ;-) O "Não criar o estado" com certeza é o motivo de não funcionar o reply-to, pois ele funciona justamente em cima da tabela de estados para saber por onde a conexão entrou e por onde ela deve sair. Debugar esse tipo de situação é chato mesmo. Coloque log nas suas regras (todas) e veja os logs com tcpdump -nei pflog0 para ver o que está passando no momento ou tcpdump -ner /var/log/pflog para ver oq já passou. preste atenção no log, restrinja a visualização às conexões que você está tendo problemas com os paramentros host, port e utilize o pfctl -s rules -vv para comparar os logs com a regras que estão criando o estado. Não sei se você sabe mas o log do pf mostra o número da regra que criou o estado, e o número da regra só é mostrado pelo pfctl quando você usa opção -vv - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Alexandre, > > Você usa só com TCP, certo? > Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Cria o "estado" mas não funfa o reply-to ;-) Fico na mesma. Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:27 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate "PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. " " set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). " Acredito que opcao utilizada seja src.track ... - Mensagem original - De: "Alexandre Biancalana" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Fala Wildes, blz? > > Estou usando a 7.0 RELEASE > > Vendo agora o man fiquei desanimado... veja: > > "reply-to is useful only in rules that create state". > Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me > corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um "estado" para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Wildes, posta o trecho do conf! Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 3:16 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada > nem com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface > pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? > tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Wildes Miranda de Oliveira <[EMAIL PROTECTED]> wrote: > saudacoes ! > > Qual o versao do FreeBSD voce esta usando ? > tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem > com vela preta > no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 > :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado > a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo > tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: "reply-to is useful only in rules that create state". Pelo que sei UDP não tem "estados"... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Já usei a algum tempo o OpenVPN com TCP, mas ficou bem estranho... com udp funciona bem melhor. E agora José? =) Welkson - Original Message - From: "Wildes Miranda de Oliveira" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, October 01, 2008 2:05 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? value - Mensagem original - De: "Welkson Renny de Medeiros" <[EMAIL PROTECTED]> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, vou testar o reply-to e retorno pra vocês. Valeuzzz. Welkson - Original Message - From: "Alexandre Biancalana" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, > vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 9/30/08, Welkson Renny de Medeiros <[EMAIL PROTECTED]> wrote: > Pessoal, > > Também tenho esse mesmo problema. > > Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora > consigo acessar qualquer porta que libere no firewall. > > Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no > provedor, > 1024 são liberadas... > > Tento acessar de fora qualquer porta do link jetcom e não consigo (no > firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o > pacote chegando, mas não volta, ou volta pelo gateway default/velox, não > sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. > > Fiz essa dica da Aline mas não funfou comigo. > > Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo > o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas < 1024 são bloqueadas direto no provedor, > 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro "log" e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Tentei diversos outros serviços, e a mesma coisa. Sugestões? Welkson - Original Message - From: "Aline Freitas" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wednesday, August 27, 2008 12:09 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem simples. Fica registrado pro historico da lista: ip1 = aaa.aaa.aaa.aaa ip2 = bbb.bbb.bbb.bbb gw1 = xxx.xxx.xxx.xxx gw2 = yyy.yyy.yyy.yyy route add default $gw1 route add -host $ip2 127.0.0.1 Criando uma rota a partir do IP da interface não padrão para a interface lo0 torna esta interface não padrão acessivel de fora. Valeu para quem tentou ajudar, []'s Aline 2008/8/20 Aline de Freitas <[EMAIL PROTECTED]> Boa tarde! Estou com dois links de internet: (bge1) Virtua = 12 megas, IP Dinâmico (bge2) Ajato = 2 megas, IP fixo (bge0) Rede interna A prioridade para uso interno é a bge2, por conta da banda alta. Apenas para alguns acessos que exigem autenticação por IP criei rotas via bge1. Pela rede interna tenho os dois gateways das duas interfaces acessíveis, mas o gateway default é o via bge2. O problema é que externamente, apenas o IP da bge2 (dinâmico) é acessível. O IP da bge1 (fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa a ser acessível externamente. Alguém conhece alguma forma de fazer com que ambas as interfaces sejam acessíveis externamente? Aline - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Firewall ? PF ? Caso seja, basta liberar a porta que quer que seja acessivel na interface desejada. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga. Minhas regras no pf.conf: # Interfaces EXT_IF1 = "bge1" EXT_IF2 = "bge2" INT_IF = "bge0" VPN_IF = "tun0" # Redes LAN_NETWORK = "192.168.0.0/24" VPN_NETWORK = "10.8.0.0/24" # Portas publicas (abertas para Internet) # 4222 = SSH # 4280 = Apache (HTTP) # 42443 = Apache (HTTPS) # 8180 = Tomcat (HTTP) # 8443 = Tomcat (HTTPS) # 41194 = OpenVPN PUB_PORTS = "{ 4222, 4280, 42443, 8180, 8443, 41194 }" # Logar eventos em interface externa set loginterface $EXT_IF1 set loginterface $EXT_IF2 # Politica padrao de envio de rst em block set block-policy return # Ignorando loopback set skip on lo # Normalizacao scrub in all # NAT de VPN nat on $EXT_IF1 from $VPN_NETWORK to any -> ($EXT_IF1) # NAT de LAN nat on $EXT_IF1 from $LAN_NETWORK to any -> ($EXT_IF1) nat on $EXT_IF2 from $LAN_NETWORK to any -> ($EXT_IF2) # Bloqueando toda entrada por padrao block in # Saida livre pass out keep state # Comunicacao livre com VPN pass quick on $VPN_IF keep state # Comunicacao livre com LAN pass quick on $INT_IF keep state # Permitiondo acesso a portas publicas pass in on $EXT_IF1 proto tcp from any to ($EXT_IF1) port $PUB_PORTS flags S/SA keep state pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2) port $PUB_PORTS flags S/SA keep state # Permitindo Ping pass in inet proto icmp all icmp-type echoreq keep state # Faz balanceamento de carga no trafego da rede interna pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp from $LAN_NETWORK to any flags S/SA modulate state pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp, icmp } from $LAN_NETWORK to any keep state # Regras gerais "pass out" para as interfaces externas pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state # Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para # $EXT_IF2 e $EXT_GW2 pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd