Re: [FUG-BR] Ajuda com regras PF/NAT

2009-03-25 Por tôpico irado furioso com tudo 
Em Wed, 25 Mar 2009 13:03:05 -0300
"Ricardo Augusto de Souza" , conhecido
consumidor de drogas (BigMac's com Coke) escreveu:

> Os clientes se conectam na VPN e pegam um IP 172.16.0.0/24 e o
> servidor fica como 172.16.0.1

 /client172..//server172../


> 
> Os clientes pingam o 172.16.0.1 e a rede 10.100.0.0/16 só não
> consegui acessar a rede 10.10.0/16.

muito número, pouca clareza.. no topologico, ONDE ficam 10.100 e 10.10??

> 
> Quando rodo o tcpdump na interface da rede 10, e pingo um endereço do
> cliente VPN, 

suponho que cliente172...??

> o pacote passa pela vic2 

vic2 é interface? virtual? real?

> só que com origem a rede
> 172.16.0.0 e acho que teria q ser o ip atribuído na vic2, certo?

se puder, faça um topologico dessa rede+tuneis e coloque em algum lugar
(pastebin, por ex), pra que a gente tenha uma idéia qualquer.


-- 
 saudações,
 irado furioso com tudo
 Linux User 179402/FreeBSD BSD50853/FUG-BR 154
 Não uso drogas - 100% Miko$hit-free
Frango que acompanha pato, morre afogado. (Leonardo Camargo)
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Ajuda com regras PF/NAT

2009-03-25 Por tôpico Ricardo Augusto de Souza 
Estou com problemas para fazer o roteamento correto para minha rede local 
quando clientes se conectam na VPN.

Servidor é um OpenBSD 4.4 com PF + poptop.

Mesmo esta lista sendo de FreeBSD,  o problema aqui esta nas regras do PF.

Os clientes se conectam na VPN e pegam um IP 172.16.0.0/24 e o servidor fica 
como 172.16.0.1

Os clientes pingam o 172.16.0.1 e a rede 10.100.0.0/16 só não consegui acessar 
a rede 10.10.0/16.

Quando rodo o tcpdump na interface da rede 10, e pingo um endereço do cliente 
VPN, o pacote passa pela vic2 só que com origem a rede 172.16.0.0 e acho que 
teria q ser o ip atribuído na vic2, certo?


Podem me ajudar por favor?

 

 

# route show

 

Routing tables

Internet:

 

DestinationGatewayFlags   Refs  Use   Mtu  Prio

Iface

default189-57-43-1.custom UGS1  397 -48

vic0

10.10/16   link#3 UC 20 -48

vic2

10.10.0.2  00:11:0a:a0:a8:c4  UHLc   0   11 -48

vic2

10.10.100.254  00:0a:5e:63:7e:2e  UHLc   0   27 -48

vic2

10.100.0/2410.100.1.1 UGS0   86 -48

vic3

10.100.1/24link#4 UC 10 -48

vic3

10.100.1.1 00:60:2e:10:10:6b  UHLc   76 -48

vic3

10.100.2/2410.100.1.1 UGS00 -48

vic3

10.100.3/2410.100.1.1 UGS00 -48

vic3

10.100.4/2410.100.1.1 UGS00 -48

vic3

10.100.5/2410.100.1.1 UGS00 -48

vic3

10.100.6/2410.100.1.1 UGS00 -48

vic3

10.100.7/2410.100.1.1 UGS00 -48

vic3

loopback   localhost  UGRS   00 3320448

lo0

localhost  localhost  UH 10 3320448

lo0

172.16.0.2 172.16.0.1 UH 0   96  140048

tun0

189-57-43-0.custom link#1 UC 30 -48

vic0

189-57-43-1.custom 00:16:e0:33:3b:e4  UHLc   10 -48

vic0

189-57-43-3.custom 00:10:18:16:0e:8a  UHLc   1 1288 -48

vic0

189-57-43-5.custom 00:0c:29:4c:b2:d4  UHLc   2  473 -48

vic0

200.162.41.32/28   link#2 UC 10 -48

vic1

200.162.41.33  00:60:2e:10:1e:a3  UHLc   00 -48

vic1

BASE-ADDRESS.MCAST localhost  URS00 3320448

lo0

 

 

 

 

 

# ifconfig

lo0: flags=8049 mtu 33204

groups: lo

inet 127.0.0.1 netmask 0xff00

   inet6 ::1 prefixlen 128

inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6

 

vic0: flags=8843 mtu 1500

lladdr 00:0c:29:92:4d:05

groups: egress

media: Ethernet autoselect

status: active

inet 189.57.XXX.XXX netmask 0xfff8 broadcast 189.57.43.7

inet6 fe80::20c:29ff:fe92:4d05%vic0 prefixlen 64 scopeid 0x1

 

vic1: flags=8843 mtu 1500

lladdr 00:0c:29:92:4d:0f

media: Ethernet autoselect

status: active

inet 200.162.XXX.XXX netmask 0xfff0 broadcast 200.162.41.47

inet6 fe80::20c:29ff:fe92:4d0f%vic1 prefixlen 64 scopeid 0x2

 

vic2: flags=8843 mtu 1500

lladdr 00:0c:29:92:4d:19

media: Ethernet autoselect

status: active

inet 10.10.100.252 netmask 0x broadcast 10.10.255.255

inet6 fe80::20c:29ff:fe92:4d19%vic2 prefixlen 64 scopeid 0x3

 

vic3: flags=8843 mtu 1500

lladdr 00:0c:29:92:4d:23

media: Ethernet autoselect

   status: active

inet 10.100.1.33 netmask 0xff00 broadcast 10.100.1.255

inet6 fe80::20c:29ff:fe92:4d23%vic3 prefixlen 64 scopeid 0x4

enc0: flags=0<> mtu 1536

pflog0: flags=141 mtu 33204

groups: pflog

 

 

pf.conf:

 

# cat /etc/pf.conf

ext_if="vic0"

ext2_if="vic1"

int_if="vic2"

mpls_if="vic3"

vpn_net="{ 172.16.0.0/24 }"

vpn_if="{ tun0, tun1, tun2, tun3 }"

dtc_mpls="10.100.0.0/24"

dtc_internet="200.143.33.0/24"

rede_cmt="10.10.0.0/24"

set skip on { lo $int_if }

#

nat on $mpls_if from $vpn_net to $dtc_mpls tag VPN_DTC -> $mpls_if

nat on $int_if from $vpn_net to $rede_cmt -> $int_if

#

#block in

pass in all

pass out keep state

 

 

 

pptpd.conf:

speed 230400

debug

option /etc/ppp/ppp.conf

logfile /var/log/pptpd.log

localip 172.16.0.1

remoteip 172.16.0.2-10

listen 189.57.XXX.

nobsdcomp

+chapms-v2

mppe-40

mppe-128

mppe-stateless

noipparam

 

 

 

Logs:

# tcpdump -i vic3 'dst host 10.100.0.1'

tcpdump: listening on vic3, link-type EN10MB

09:28:56.888286 10.100.1.33 > 10.100.0.1: icmp: echo request

09:28:57.745042 10.100.1.33 > 10.100.0.1: icmp: echo request

09:28:58.754855 10.100.1.33 > 10.100.0.1: icmp: echo request

09:28:59.727557 10.100.1.33 > 10.100.0.1: icmp: echo request