Настройка шлюза/роутера

@xDrew · Регистрация: 01.12.2010

Студворк — интернет-сервис помощи студентам

Начну с этого:

Bash
1
2
# uname -a
FreeBSD test.local 8.3-RELEASE FreeBSD 8.3-RELEASE #2: Wed Mar 19 17:20:45 EET 2014     [email]root@test.local[/email]:/usr/obj/usr/src/sys/GENERIC_IPFW  amd64

На шлюзе установлены 3 сетевушки - 1-ая к провайдеру, 2-ая и 3-я в локалки (обзовём их соответственно net1 и net2). Адрес шлюза для net1 - 10.20.10.1, для net2 - 10.20.0.1. Для того чтобы попасть в локалки из мира, используется pptp канал на базе mpd5.
Суть вопроса состоит в том что в net1 достучаться, из мира по впн, получается, а в net2 - нет, при этом до гейтвея net2 ping доходит, но дальше не идет. Обе локалки между собой дружат.
IPFW - прозрачнее просто некуда:

Bash
1
2
3
4
# ipfw list
00010 divert 8668 ip4 from any to any via em0
65000 allow ip from any to any
65535 allow ip from any to any

Вот что говорит netstat:

Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# netstat -rn
Routing tables
 
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            хх.хх.хх.хх        UGS         0    22484    em0
10.20.0.0/24       link#8             U           0     7891    vr0
10.20.0.1          link#8             UHS         0        4    lo0
10.20.10.0/24      link#7             U           0       69   ste0
10.20.10.1         link#7             UHS         0        0    lo0
хх.хх.хх.хх/30     link#1             U           0        0    em0
хх.хх.хх.хх        link#1             UHS         0        0    lo0
127.0.0.1          link#11            UH          0       32    lo0
172.20.1.1         link#12            UHS         1        4    lo0
172.20.1.101       link#13            UH          0        4    ng0

Подскажите, пожалуйста, в какую сторону копать дальше....

Добавлено через 4 часа 59 минут
проблема решилась добавлением еще одного пула в mpd5

Dr_Quake · 28.04.2014, 20:58

При чём тут вообще mpd5? Почему не идёт тоже очевидно - у natd конфиг свой и не приведён, в гайдах для 1 сети естественно.

@xDrew · 29.04.2014, 09:54 **[ТС]**

Bash
1
2
natd_enable="YES"
natd_interface="em0"

все что есть по поводу natd в rc.conf.... но честно говоря не понимаю причем тут он, если соединение происходит по vpn

вот такая вот топология

адреса 10.20.0.1? 10.20.10.1 и 10.20.10.20 пингуются... а 10.20.0.10 - нет

Dr_Quake · 29.04.2014, 10:08

Ты про что имея в виду пингуются пишешь уже сейчас?

@xDrew · 29.04.2014, 10:12 **[ТС]**

я имею ввиду то что если я подключаюсь к серверу по впн, то могу достучаться в сеть 10.20.10.0/24, а сеть 10.20.0.0/24 не могу, хотя сетевую карту 10.20.0.1 вижу...

Dr_Quake · 29.04.2014, 10:14

А, это я не так прочитал, тогда очевидно.

Только я думаю что можно проще - коммуникация клиент-клиент в общем случае возможна, но сам такое на mpd5 не настраивал, сходу не скажу.

@xDrew · 29.04.2014, 10:27 **[ТС]**

Сообщение от Dr_Quake

коммуникация клиент-клиент в общем случае возможна

да, я уже тоже думал об этом, но в моем случае не совсем удобно...

Dr_Quake · 29.04.2014, 11:08

Это удобнее в разы, но broadcast...

@xDrew · 29.04.2014, 11:42 **[ТС]**

ну это надо разворачивать сервер дома... а доступ в офис мне нужен не на одну тачку, а как минимум на 5))

@konstantine_ · 30.04.2014, 21:13

Вопрос, а компьютеры из net2 сети на которые ты пытаешься с впн клиента достучаться дефолт гейт(шлюз по умолчанию) имеют - 10.20.0.1 ?

@xDrew · 02.05.2014, 09:56 **[ТС]**

да, и в мир выходят без проблем, мало того - я даже могу пропинговать адрес впн клиента из сети 10.20.0.0/24

@konstantine_ · 03.05.2014, 12:56

АААА тогда всё нормально, это у тебя фаервол(антивируса) на клиентах банит входящие из НЕ ЛОКАЛЬНОЙ сети, добавь ВПН сеть в доверенную зону на виндах.

Добавлено через 13 минут
Вариант номер 2:
Натить все исходящие из впн сети в net2 IP адресом 10.20.0.1.

В PF для тебя(судя по netstat -rn) это бы выглядело так:
nat on vr0 from 172.16.2.0/24 to vr0:network -> vr0

172.16.2.0/24 - я предположил, что это твоя ВПН подсеть

@xDrew · 04.05.2014, 20:20 **[ТС]**

Сообщение от konstantine_

это у тебя фаервол(антивируса) на клиентах банит входящие из НЕ ЛОКАЛЬНОЙ сети

а причем тут фаер/антивир на клиентах?
я же говорю - я МОГУ с впн подсети (172.20.1.0) достучаться до сетевого интерфейса 10.20.0.1, НО до компов которые находятся в этой сети (10.20.0.0) - НЕМОГУ!

@konstantine_ · 05.05.2014, 19:27

ты ВНИМАТЕЛЬНО прочитай, что я тебе написал, а потом хорошенько подумай. На листочке все нарисуй, визуально легче понять.

п.с. если ты можешь с ВПН сети достучаться до IP адреса интерфейса маршрутизатора смотрящего в эту сеть, это ещё не значит, что ты сможешь попасть на клиентские тачки.

п.п.с. .... 100% у тебя этом же маршрутизаторе впн сервер на mpd, соответственно ты АБСОЛЮТНО до всех его интерфейсов (ну кроме лупбэков) сможешь достучаться....

@xDrew · 07.05.2014, 15:01 **[ТС]**

хорошо, но почему тогда я могу легко достучаться до клиентских компов в соседнюю локалку (10.20.10.0)? ведь по сути все одинаково настроено, и IPFW настроен прозрачно.

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

Dr_Quake Заблокирован
	28.04.2014, 20:58
	При чём тут вообще mpd5? Почему не идёт тоже очевидно - у natd конфиг свой и не приведён, в гайдах для 1 сети естественно. 0

Dr_Quake Заблокирован
	29.04.2014, 10:08
	Ты про что имея в виду пингуются пишешь уже сейчас? 0

@xDrew 1 / 1 / 0 Регистрация: 01.12.2010 Сообщений: 28
	29.04.2014, 10:12 [ТС]
	я имею ввиду то что если я подключаюсь к серверу по впн, то могу достучаться в сеть 10.20.10.0/24, а сеть 10.20.0.0/24 не могу, хотя сетевую карту 10.20.0.1 вижу... 0

Dr_Quake Заблокирован
	29.04.2014, 10:14
	А, это я не так прочитал, тогда очевидно. Только я думаю что можно проще - коммуникация клиент-клиент в общем случае возможна, но сам такое на mpd5 не настраивал, сходу не скажу. 0

Dr_Quake Заблокирован
	29.04.2014, 11:08
	Это удобнее в разы, но broadcast... 0

@xDrew 1 / 1 / 0 Регистрация: 01.12.2010 Сообщений: 28
	29.04.2014, 11:42 [ТС]
	ну это надо разворачивать сервер дома... а доступ в офис мне нужен не на одну тачку, а как минимум на 5)) 0

@konstantine_ 0 / 0 / 0 Регистрация: 14.04.2014 Сообщений: 14
	30.04.2014, 21:13
	Вопрос, а компьютеры из net2 сети на которые ты пытаешься с впн клиента достучаться дефолт гейт(шлюз по умолчанию) имеют - 10.20.0.1 ? 0

@xDrew 1 / 1 / 0 Регистрация: 01.12.2010 Сообщений: 28
	02.05.2014, 09:56 [ТС]
	да, и в мир выходят без проблем, мало того - я даже могу пропинговать адрес впн клиента из сети 10.20.0.0/24 0

@konstantine_ 0 / 0 / 0 Регистрация: 14.04.2014 Сообщений: 14
	03.05.2014, 12:56
	АААА тогда всё нормально, это у тебя фаервол(антивируса) на клиентах банит входящие из НЕ ЛОКАЛЬНОЙ сети, добавь ВПН сеть в доверенную зону на виндах. Добавлено через 13 минут Вариант номер 2: Натить все исходящие из впн сети в net2 IP адресом 10.20.0.1. В PF для тебя(судя по netstat -rn) это бы выглядело так: nat on vr0 from 172.16.2.0/24 to vr0:network -> vr0 172.16.2.0/24 - я предположил, что это твоя ВПН подсеть 0

@konstantine_ 0 / 0 / 0 Регистрация: 14.04.2014 Сообщений: 14
	05.05.2014, 19:27
	ты ВНИМАТЕЛЬНО прочитай, что я тебе написал, а потом хорошенько подумай. На листочке все нарисуй, визуально легче понять. п.с. если ты можешь с ВПН сети достучаться до IP адреса интерфейса маршрутизатора смотрящего в эту сеть, это ещё не значит, что ты сможешь попасть на клиентские тачки. п.п.с. .... 100% у тебя этом же маршрутизаторе впн сервер на mpd, соответственно ты АБСОЛЮТНО до всех его интерфейсов (ну кроме лупбэков) сможешь достучаться.... 0

@xDrew 1 / 1 / 0 Регистрация: 01.12.2010 Сообщений: 28
	07.05.2014, 15:01 [ТС]
	хорошо, но почему тогда я могу легко достучаться до клиентских компов в соседнюю локалку (10.20.10.0)? ведь по сути все одинаково настроено, и IPFW настроен прозрачно. 0