Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Senhores, Com protocolo TCP ficou show de bola, mas com UDP (OpenVPN), não funfa. pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # já testei sem o keep state No log do PF: 00 rule 475/0(match): pass in on vr2: 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa normal (outros serviços). Sugestões? Welkson - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, September 30, 2008 4:13 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas 1024 são bloqueadas direto no provedor, 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro log e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Em Wed, 1 Oct 2008 14:01:11 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED], conhecido consumidor de drogas (BigMac's com Coke) escreveu: (OpenVPN), não funfa. A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa normal (outros serviços). considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha conexão ponta-a-ponta, isso me parece muito mais problemas de configuração do OpenVPN do que do fwll. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Fala Irado! Não é configuração. Se você ler os posts anteriores eu explico que estou incluíndo mais um link de internet, e de fora só fica acessível o primeiro eu quero deixar os dois... por isso estou usando o reply-to... porque os pacotes quando entram pelo segundo link insistem em voltar pelo primeiro (default gateway). Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona. Vi agora que tem um PR para o reply-to, uma pena: http://www.freebsd.org/cgi/query-pr.cgi?pr=93825 Essa configuração tá idêntica a 2 anos... agora todos os clientes estão conectado pelo primeiro link (velox)... se eu alterar no conf do cliente para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, mas volta pelo velox. É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como o próprio PR diz, não é crítico... talvez demore algum tempo para ser corrigido. Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE. Vou continuar nos testes, qualquer dica será bem vinda. Abraço, Welkson - Original Message - From: irado furioso com tudo [EMAIL PROTECTED] To: freebsd@fug.com.br Sent: Wednesday, October 01, 2008 2:22 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (MAIS UMA VEZ = UDP PROTOCOL) Em Wed, 1 Oct 2008 14:01:11 -0300 Welkson Renny de Medeiros [EMAIL PROTECTED], conhecido consumidor de drogas (BigMac's com Coke) escreveu: (OpenVPN), não funfa. A conexão chega, mas retorna pelo ip errado. Lembrando que TCP funfa normal (outros serviços). considerando-se que o OpenVPN é tunel em udp e, obrigatoriamente fecha conexão ponta-a-ponta, isso me parece muito mais problemas de configuração do OpenVPN do que do fwll. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free se o país é democrático, por que razão sou obrigado a votar? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (MAIS UMA VEZ = UDP PROTOCOL)
Você não vai conseguir fazer com UDP exatamente pelo que falou, o reply-to não funciona neste caso porque a conexão não tem o 3 way handshake. Creio que outras aplicações que usem UDP e que você precise de tráfego entrante(SNMP, DNS) não irão funcionar, pelo mesmo motivo. -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Welkson Renny de Medeiros Sent: Wednesday, October 01, 2008 2:36 PM To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (MAIS UMA VEZ = UDP PROTOCOL) Fala Irado! Não é configuração. Se você ler os posts anteriores eu explico que estou incluíndo mais um link de internet, e de fora só fica acessível o primeiro eu quero deixar os dois... por isso estou usando o reply- to... porque os pacotes quando entram pelo segundo link insistem em voltar pelo primeiro (default gateway). Consegui resolver quando o protocolo é TCP (fiz vários testes com Radmin, SSH, etc, todos funcionam), mas com UDP (OpenVPN) não funciona. Vi agora que tem um PR para o reply-to, uma pena: http://www.freebsd.org/cgi/query-pr.cgi?pr=93825 Essa configuração tá idêntica a 2 anos... agora todos os clientes estão conectado pelo primeiro link (velox)... se eu alterar no conf do cliente para usar o segundo link (jetcom), ele tenta conectar (vejo no log do pf), mas não estabelece a vpn... no log dar pra ver que chega no ip do jetcom, mas volta pelo velox. É isso, agora é só esperar que Max Laier tenha tempo pra ver isso ;-) como o próprio PR diz, não é crítico... talvez demore algum tempo para ser corrigido. Engraçado que no PR foi reportado o problema com TCP e FreeBSD 6.1 PRE-RELEASE, e tcp funciona pra mim... o meu é FreeBSD 7.0 RELEASE. Vou continuar nos testes, qualquer dica será bem vinda. Abraço, Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd