Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
A conexão é bem estável, quanto a isso fico mais tranquilo. Quanto a MTU eu uso em um cliente o openvpn com TCP e não tive que fazer nenhum ajuste, acho que funcionará bem. Vou deixar pra mexer na segunda... Obrigado mais uma vez. Welkson - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, October 04, 2008 10:03 AM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Fica bem estranho manter dois confs... e como fazer isso no rc.conf? carregar na mão via rc.local não gosto muito! Vou alterar o protocolo para TCP e ver como se comporta. Eu tenho um outro cliente usando via TCP a mais de ano... mas é só para TEF, os pacotes são mínimos (2 ou 3kb). Alguns dos clientes da VPN usam replicação... o volume de dados é bem grande... pelo que li o desempenho em TCP cai um pouco... mas acho que não terei problemas. Obrigado pela ajuda. Bom fim de semana. Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Friday, October 03, 2008 6:12 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/3/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Vale, obrigado! Welkson - Original Message - From: Welkson Renny de Medeiros [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, October 02, 2008 7:40 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: De manhã eu havia enviado... mas mandei novamente no pvt. Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni interface_da_rota_default host ip_externo - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/3/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alexandre, Deve ser algo no UDP mesmo. Alterei meu openvpn agora (3 hs da madruga =) para TCP, acessei o cliente, fiz a alteração na conf também para tcp... tentei acessar nos dois ips e funfou perfeito Mesma regra do firewall, só alterei o de udp para tcp. Vou voltar para UDP deixar funcionando só em 1 ip mesmo... feriado amanhã, não quero receber ligação amanhã no feriado (-: Vou ver se aparece mais alguma dica, se não aparecer vou alterar a vpn para tcp e trocar a conf em todos os clientes. Eu verifiquei oque tenho funcionando com udp (DNS) e o q descobri que tenho 2 binds rodando no servidor um respondendo por cada link, talvez se vc tentar fazer isso com openvpnd funcione. Att, - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
- Original Message -
From: Wildes Miranda de Oliveira [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0=( $ext_if0 $router0 )
route1=( $ext_if1 $router1 )
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 - $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 - $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando pass in.
valeu ...!
- Mensagem original -
De: Alexandre Biancalana [EMAIL PROTECTED]
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote:
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
exemplo com udp, porque aqui não funciona nem a pau... =)
Coloca xxx nos ips em produção.
Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
udp, e de 65517 para 1194
# tcp que funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
any port 65517 keep state
# udp que NAO funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
any port 1194 keep state
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP?
Poste o trecho do pf.conf que faz o reply por favor.
Welkson
- Original Message -
From: Welkson Renny de Medeiros [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Thursday, October 02, 2008 11:36 AM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI
NOVU)
Com esse pass in você não está LIBERANDO TUDO?
Eu uso o pass in, mas especifico somente a porta que quero liberar.
Você testou a porta udp com que? openvpn? tcp eu sei que funfa, udp é que é
f...
welkson
- Original Message -
From: Wildes Miranda de Oliveira [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Thursday, October 02, 2008 8:35 AM
Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
A minha configuracao funcionou. Tanto UDP quanto TCP.
Estava tendo dificuldades porque esta redirecionado os pacotes para uma rede
DMZ.
Entao tambem tive que fazer uma regra reply-to na interface de acesso a DMZ.
ficou td +- assim :
route0=( $ext_if0 $router0 )
route1=( $ext_if1 $router1 )
rdr on $ext_if0 proto tcp from any to $ext_ip0 port {http,https} tag
ROUTE0 - $web_server
rdr on $ext_if1 proto tcp from any to $ext_ip1 port {http,https} tag
ROUTE1 - $web_server
pass in quick on $ext_if0 reply-to $route0 proto {tcp,udp} from any to
$ext_ip0 keep state
pass in quick on $ext_if1 reply-to $route1 proto {tcp,udp} from any to
$ext_ip1 keep state
#The reply-to option is similar to route-to, but routes packets that
#pass in the ***opposite*** direction (replies) to the specified inter-
#face.
pass out quick on $dmz_if reply-to $route0 from any to any tagged ROUTE0
keep state
pass out quick on $dmz_if reply-to $route1 from any to any tagged ROUTE1
keep state
pass out on $ext_if0 route-to $ext_if1 from $ext_if1 to any
pass out on $ext_if1 route-to $ext_if0 from $ext_if0 to any
basicamento o segredo estava na direcao da regra da interface dmz. na
configuracao anterior
anterior eu estava coloando pass in.
valeu ...!
- Mensagem original -
De: Alexandre Biancalana [EMAIL PROTECTED]
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Enviadas: Quarta-feira, 1 de Outubro de 2008 17:23:15 GMT -03:00 Argentina
Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI
NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote:
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um
exemplo com udp, porque aqui não funciona nem a pau... =)
Coloca xxx nos ips em produção.
Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para
udp, e de 65517 para 1194
# tcp que funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to
any port 65517 keep state
# udp que NAO funciona
pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to
any port 1194 keep state
Manda seu pf.conf completo.
O que pode estar acontecendo é que o pf cria o estado pela ultima
regra que fizer o match ou seja, se você tem a regra com reply-to e
depois tem uma com o pass normal ele cria o estado pela ultima regra e
não funciona mesmo.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Wildes Miranda
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
De manhã eu havia enviado... mas mandei novamente no pvt. Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, October 02, 2008 6:28 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: E aí meu povo? ninguém tem uma sugestão de como fazer um reply-to de UDP? Poste o trecho do pf.conf que faz o reply por favor. Manda o resultado de um pfctl -s rules -vv e tcpdump -ner /var/log/pflog port 1194 no momento em que você tenta conectar. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/2/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: De manhã eu havia enviado... mas mandei novamente no pvt. Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni interface_da_rota_default host ip_externo - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Sai pelo default gateway (velox). 189.3.15.x é o ip secundário que quero que funcione udp externo. 189.124.129.x é o default gateway velox que já funciona o udp externo. Alterei meu openvpn.conf para conectar via 189.l3.15.x e veja: [EMAIL PROTECTED] /]# tcpdump -ni vr2 host 189.3.15.165 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vr2, link-type EN10MB (Ethernet), capture size 96 bytes 19:39:31.105715 IP 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 19:39:33.339138 IP 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 19:39:35.033140 IP 189.124.129.x.1194 189.3.15.x.1194: UDP, length 14 [EMAIL PROTECTED] /]# cat /etc/firewall/pf.conf | grep 1194 pass in log on $ext_if proto udp from any to any port 1194 # libera no velox - default gateway # libera no jetcom - secundário - problema no REPLY-TO pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state # 189.3.15.1 é o gateway do provedor jetcom. Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, October 02, 2008 6:55 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/2/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: De manhã eu havia enviado... mas mandei novamente no pvt. Welkson Bom.. pra termos certeza de que está acontecendo oque estamos pensando, que é o pacote udp voltar pela interface errada, faça o seguinte: - Pegue o ip externo do qual vc vai conectar no openvpn - Abra um tcpdump -ni interface_da_rota_default host ip_externo - Tente fazer a conexão com o openvpn na interface pela qual não está funcionado - Veja se aparece o pacote udp saindo pela interface da rota default no tcpdump Manda os resultados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: reply-to is useful only in rules that create state. Pelo que sei UDP não tem estados... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Já usei a algum tempo o OpenVPN com TCP, mas ficou bem estranho... com udp funciona bem melhor. E agora José? =) Welkson - Original Message - From: Wildes Miranda de Oliveira [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, October 01, 2008 2:05 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? value - Mensagem original - De: Welkson Renny de Medeiros [EMAIL PROTECTED] Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Terça-feira, 30 de Setembro de 2008 16:13:39 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas 1024 são bloqueadas direto no provedor, 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro log e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Wildes Miranda de Oliveira [EMAIL PROTECTED] wrote: saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Wildes, posta o trecho do conf! Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, October 01, 2008 3:16 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Wildes Miranda de Oliveira [EMAIL PROTECTED] wrote: saudacoes ! Qual o versao do FreeBSD voce esta usando ? tentei esta configuracao no 7.0-RELEASE,7.1-PRERELEASE e nao funcionada nem com vela preta no 7.1-PRERELEASE que compilei nao funcionou nem tcpdump na interface pflog0 :S ... Funciona sim... utilizo desde o Free 6, a sua conf que deve ter algo errado a alguma incompatibilidade em usar o reply-to em interfaces virtuais ? tipo tunN utilizadas por links PPP ?? Não vejo por que não funcionar - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: reply-to is useful only in rules that create state. Pelo que sei UDP não tem estados... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um estado para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Cria o estado mas não funfa o reply-to ;-) Fico na mesma. Welkson - Original Message - From: Wildes Miranda de Oliveira [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, October 01, 2008 3:27 PM Subject: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) veridico : http://www.openbsd.org/faq/pf/filter.html#udpstate PF simply keeps track of how long it has been since a matching packet has gone through. If the timeout is reached, the state is cleared. The timeout values can be set in the options section of the pf.conf file. set timeout option value Set various timeouts (in seconds). interval - seconds between purges of expired states and packet fragments. The default is 10 . frag - seconds before an unassembled fragment is expired. The default is 30 . src.track - seconds to keep a source tracking entry in memory after the last state expires. The default is 0 (zero). Acredito que opcao utilizada seja src.track ... - Mensagem original - De: Alexandre Biancalana [EMAIL PROTECTED] Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Enviadas: Quarta-feira, 1 de Outubro de 2008 15:21:06 GMT -03:00 Brasília Assunto: Re: [FUG-BR] Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Fala Wildes, blz? Estou usando a 7.0 RELEASE Vendo agora o man fiquei desanimado... veja: reply-to is useful only in rules that create state. Pelo que sei UDP não tem estados... acho que reply-to é só para TCP. Me corrijam se eu estiver errado. Por natureza o UDP não estabelece conexão com o destino, mas mesmo assim o pf cria um estado para este tipo de comunicação. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Wildes Miranda - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Cria o estado mas não funfa o reply-to ;-) O Não criar o estado com certeza é o motivo de não funcionar o reply-to, pois ele funciona justamente em cima da tabela de estados para saber por onde a conexão entrou e por onde ela deve sair. Debugar esse tipo de situação é chato mesmo. Coloque log nas suas regras (todas) e veja os logs com tcpdump -nei pflog0 para ver o que está passando no momento ou tcpdump -ner /var/log/pflog para ver oq já passou. preste atenção no log, restrinja a visualização às conexões que você está tendo problemas com os paramentros host, port e utilize o pfctl -s rules -vv para comparar os logs com a regras que estão criando o estado. Não sei se você sabe mas o log do pf mostra o número da regra que criou o estado, e o número da regra só é mostrado pelo pfctl quando você usa opção -vv - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um exemplo com udp, porque aqui não funciona nem a pau... =) Coloca xxx nos ips em produção. Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para udp, e de 65517 para 1194 # tcp que funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 65517 keep state # udp que NAO funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state Manda as regras. Abraço, Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, October 01, 2008 5:03 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alexandre, Você usa só com TCP, certo? Com TCP o meu funciona. Tenho configurações com TCP e UDP em produção. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 10/1/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Alexandre, se não for abusar muito, ou se preferir no PVT, me envia um exemplo com udp, porque aqui não funciona nem a pau... =) Coloca xxx nos ips em produção. Eu acho difícil ser regra, obser que a única coisa que mudo é de tcp para udp, e de 65517 para 1194 # tcp que funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 65517 keep state # udp que NAO funciona pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto udp to any port 1194 keep state Manda seu pf.conf completo. O que pode estar acontecendo é que o pf cria o estado pela ultima regra que fizer o match ou seja, se você tem a regra com reply-to e depois tem uma com o pass normal ele cria o estado pela ultima regra e não funciona mesmo. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Pessoal,
Também tenho esse mesmo problema.
Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora
consigo acessar qualquer porta que libere no firewall.
Tenho um link jetcom (ip fixo), as portas 1024 são bloqueadas direto no
provedor, 1024 são liberadas...
Tento acessar de fora qualquer porta do link jetcom e não consigo (no
firewal tá tudo liberado, engraçado que tem o parâmetro log e vejo o
pacote chegando, mas não volta, ou volta pelo gateway default/velox, não
sei).
Fiz essa dica da Aline mas não funfou comigo.
Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo
o pacote chegando, mas a conexão não é estabelecida.
Tentei diversos outros serviços, e a mesma coisa.
Sugestões?
Welkson
- Original Message -
From: Aline Freitas [EMAIL PROTECTED]
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
freebsd@fug.com.br
Sent: Wednesday, August 27, 2008 12:09 PM
Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora
Acabei descobrindo hoje como manter os dois links acessiveis por fora. Bem
simples. Fica registrado pro historico da lista:
ip1 = aaa.aaa.aaa.aaa
ip2 = bbb.bbb.bbb.bbb
gw1 = xxx.xxx.xxx.xxx
gw2 = yyy.yyy.yyy.yyy
route add default $gw1
route add -host $ip2 127.0.0.1
Criando uma rota a partir do IP da interface não padrão para a interface lo0
torna esta interface não padrão acessivel de fora.
Valeu para quem tentou ajudar,
[]'s
Aline
2008/8/20 Aline de Freitas [EMAIL PROTECTED]
Boa tarde!
Estou com dois links de internet:
(bge1) Virtua = 12 megas, IP Dinâmico
(bge2) Ajato = 2 megas, IP fixo
(bge0) Rede interna
A prioridade para uso interno é a bge2, por conta da banda alta.
Apenas para alguns
acessos que exigem autenticação por IP criei rotas via bge1. Pela rede
interna tenho os
dois gateways das duas interfaces acessíveis, mas o gateway default é
o via bge2. O
problema é que externamente, apenas o IP da bge2 (dinâmico) é
acessível. O IP da bge1
(fixo) nem pinga. Quando eu seto a bge2 como default, então ela passa
a ser acessível
externamente. Alguém conhece alguma forma de fazer com que ambas as
interfaces sejam
acessíveis externamente?
Aline
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Firewall ? PF ?
Caso seja, basta liberar a porta que quer que seja acessivel na interface
desejada.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Não me parece ser uma questão de portas, uma vez que de fora o IP nem pinga.
Minhas regras no pf.conf:
# Interfaces
EXT_IF1 = bge1
EXT_IF2 = bge2
INT_IF = bge0
VPN_IF = tun0
# Redes
LAN_NETWORK = 192.168.0.0/24
VPN_NETWORK = 10.8.0.0/24
# Portas publicas (abertas para Internet)
# 4222 = SSH
# 4280 = Apache (HTTP)
# 42443 = Apache (HTTPS)
# 8180 = Tomcat (HTTP)
# 8443 = Tomcat (HTTPS)
# 41194 = OpenVPN
PUB_PORTS = { 4222, 4280, 42443, 8180, 8443, 41194 }
# Logar eventos em interface externa
set loginterface $EXT_IF1
set loginterface $EXT_IF2
# Politica padrao de envio de rst em block
set block-policy return
# Ignorando loopback
set skip on lo
# Normalizacao
scrub in all
# NAT de VPN
nat on $EXT_IF1 from $VPN_NETWORK to any - ($EXT_IF1)
# NAT de LAN
nat on $EXT_IF1 from $LAN_NETWORK to any - ($EXT_IF1)
nat on $EXT_IF2 from $LAN_NETWORK to any - ($EXT_IF2)
# Bloqueando toda entrada por padrao
block in
# Saida livre
pass out keep state
# Comunicacao livre com VPN
pass quick on $VPN_IF keep state
# Comunicacao livre com LAN
pass quick on $INT_IF keep state
# Permitiondo acesso a portas publicas
pass in on $EXT_IF1 proto tcp from any to
($EXT_IF1)
port $PUB_PORTS flags S/SA keep state
pass in on $EXT_IF2 proto tcp from any to ($EXT_IF2)
port $PUB_PORTS flags S/SA keep state
# Permitindo Ping
pass in inet proto icmp all icmp-type echoreq keep state
# Faz balanceamento de carga no trafego da rede interna
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto tcp
from
$LAN_NETWORK to any flags S/SA modulate state
pass in on $INT_IF route-to { $EXT_IF1, $EXT_IF2 } round-robin proto { udp,
icmp } from
$LAN_NETWORK to any keep state
# Regras gerais pass out para as interfaces externas
pass out on $EXT_IF1 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF1 proto { udp, icmp } from any to any keep state
pass out on $EXT_IF2 proto tcp from any to any flags S/SA modulate state
pass out on $EXT_IF2 proto { udp, icmp } from any to any keep state
# Roteia pacotes de qualquer IP na $EXT_IF1 para $EXT_Gw1 e o mesmo para
# $EXT_IF2 e $EXT_GW2
pass out on $EXT_IF1 route-to ( $EXT_IF2 ) from $EXT_IF2 to any
pass out on $EXT_IF2 route-to ( $EXT_IF1 ) from $EXT_IF1 to any
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
On 9/30/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas 1024 são bloqueadas direto no provedor, 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro log e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Alexandre, vou testar o reply-to e retorno pra vocês. Valeuzzz. Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas 1024 são bloqueadas direto no provedor, 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro log e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Dois links de internet, um inacessíve l de fora (DI NOVU)
Obrigado Alexandre... deu certíssimo! pass in log quick on $ext_if2 reply-to ($ext_if2 189.3.15.1) proto tcp to any port 2 keep state Onde 189.3.15.1 é o gateway do jetcom. Sabem dizer se já foi implementado o reply-to para synproxy? (tais aí Aristeu?) http://osdir.com/ml/freebsd.devel.pf4freebsd/2006-10/msg00035.html Abraço, Welkson - Original Message - From: Alexandre Biancalana [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, September 30, 2008 3:35 PM Subject: Re: [FUG-BR]Dois links de internet, um inacessível de fora (DI NOVU) On 9/30/08, Welkson Renny de Medeiros [EMAIL PROTECTED] wrote: Pessoal, Também tenho esse mesmo problema. Tenho um link VELOX (ppp/ip dinâmico), que é o gateway padrão... de fora consigo acessar qualquer porta que libere no firewall. Tenho um link jetcom (ip fixo), as portas 1024 são bloqueadas direto no provedor, 1024 são liberadas... Tento acessar de fora qualquer porta do link jetcom e não consigo (no firewal tá tudo liberado, engraçado que tem o parâmetro log e vejo o pacote chegando, mas não volta, ou volta pelo gateway default/velox, não sei). Certamente você precisa de uma regra com reply-to para abrir a sessão e fazer com que o pacote volte pela mesma interface por onde entrou. Fiz essa dica da Aline mas não funfou comigo. Como falei, a porta tá liberada no firewall (pf), com o parâmetro LOG, vejo o pacote chegando, mas a conexão não é estabelecida. Você ve o pacote chegando pela interface certa mas deve ver também ele saindo pela interface da rota default, isso vai acontecer se você não tiver uma regra de reply-to criando a sessão no momento da entrada do pacote pela interface não default. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
