2 VPN-сервера. Организация доступа.

Статическая и динамическая, протоколы

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 01 дек 2009, 06:15

Ну получается все правильно. Она (железка) включает опцию Ip routing по умолчанию.
делаю
Код: Выделить всё
(config)#no ip routing

Получаю:
Код: Выделить всё
#show run
Current configuration : 811 bytes
!
version 12.2
service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
redundancy
 no keepalive-enable
 mode hsa
enable secret 5 .................
!
ip subnet-zero
no ip routing
!
...

Если я добавляю
Код: Выделить всё
(config)#ip routing

то на выводе будет
Код: Выделить всё
#sh run
Current configuration : 756 bytes
!
version 12.2
service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
redundancy
 no keepalive-enable
 mode hsa
enable secret 5 .................
!
ip subnet-zero
!
!
...


Как можно запретить подключение по telnet На внешнем порту (на 83.*.*.186) и разрешить его только на внутреннем - 89.237.37.* и то с определенного ip?

Допустимо ли:
Код: Выделить всё
 ip access-list extended e1-in
  !
  permit icmp any host 83.*.*.186
  deny <все остальные протоколы> any host 83.*.*.186
  !
  interface Ethernet /1/0/0
   ip access-group e1-in in

чтобы отбросить все не желательное на вход?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 01 дек 2009, 11:55

Андрей писал(а):чтобы отбросить все не желательное на вход?

в статье, ссылку на которую я давал выше, показано как это сделать в пункте 18
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 01 дек 2009, 12:14

root писал(а):показано как это сделать в пункте 18
Получается на CISCO мы задаем только вход по telnet.
Ну тогда можно отрезать как:
Код: Выделить всё
c3560G(config)# ip access-list standard TELNET
c3560G(config-std-nacl)# deny any
c3560G(config-std-nacl)# exit
c3560G(config)# line vty 0 15
c3560G(config-line)# access-class TELNET in

И опять же, а если у меня line vty 0 4?

Я почему спрашиваю.
В статье http://www.emanual.ru/download/3579.html сказано, что есть нужда в отключении ненужных сервисов и т.п.
Я что подумал - все равно я захожу на CISCO через консольный кабель.
Можно ли отключить на ней все, кроме нужного для ip routing так, чтобы она сама не пинговалась и т.п. одним словом чтоб её как бы не было.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 02 дек 2009, 11:41

Андрей писал(а):И опять же, а если у меня line vty 0 4?

ну если ты хочешь применить тока для 0-4 то ессно просто подправь команду

Андрей писал(а):Можно ли отключить на ней все, кроме нужного для ip routing так, чтобы она сама не пинговалась и т.п. одним словом чтоб её как бы не было.

трафик запрещается списком контроля доступа - access-list
соответственно запрети все что хочешь и применяй аксес лист там где он тебе необходим
Типы аксес листов: Access Lists (Router ACL, Port ACL, VLAN ACL, MAC ACL)

Андрей, я помоему уже все разжевал и рассказал, осталось тока переварить и сделать. Чтобы переварить нуна почитать, направление что читать я дал.
Если ты не хочешь этого делать, то давай так: ты даешь мне доступ, я все настраиваю, ты оплачиваешь мою работу и дальше саппортишь сам или я (за отдельную оплату)
т.к. я уже не знаю что тебе ещё можно рассказать по сабжу
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 04 дек 2009, 05:13

Запустил CISCO.
Перевел основной NAS на новую подсеть - все работает.
Проблема теперь в другом.
Новый сервер NAS не выпускат машины в инет, точнее ping на внешние хосты с машин клиентов есть, даже на DNS провайдера ping есть, а вот что-то запросить не получается.
Делаю и получаю:
Код: Выделить всё
C:\Documents and Settings\->nslookup mail.ru
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 62.165.32.250: Timed out
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 62.165.33.250: Timed out
*** Default servers are not available
Server:  UnKnown
Address:  62.165.32.250

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to UnKnown timed-out

DNS указываю вручную в свойствах pptp подключения.

С самой машины все раздается куда удачнее. В чем проблема может быть?
Даже не представляю куда смотреть. Проверил все, уже сделал так,как было на старой машине (на основном NAS) - все равно не работает.

Машина на:
Код: Выделить всё
# uname -a
FreeBSD nas.localhost 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri Dec  4 06:03:51 YEKT 2009     nas@nas.localhost:/usr/obj/usr/src/sys/nas_  i386


Заранее благодарю за ответ.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 04 дек 2009, 12:45

DNS сервера указываются в /etc/resolv.conf
смотри что написано там и соответственно сервер должен мочь отправлять трафик и принимать трафик от IP-адреса DNS сервера

раз у тя таймауты то варианта 2:
1. твой сервер не может достучаться до IP DNS сервера
2. DNS сервер не работает
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 04 дек 2009, 13:21

root писал(а):DNS сервера указываются в /etc/resolv.confсмотри что написано там и соответственно сервер должен мочь отправлять трафик и принимать трафик от IP-адреса DNS сервера

62.165.32.250
В том и дело, что с сервера nslookup проходит, а от клиента нет.
В подтверждение:
Код: Выделить всё
# nslookup ya.ru
Server:         62.165.32.250
Address:        62.165.32.250#53

Non-authoritative answer:
Name:   ya.ru
Address: 77.88.21.8
Name:   ya.ru
Address: 93.158.134.8
Name:   ya.ru
Address: 213.180.204.8


root писал(а):раз у тя таймауты то варианта 2:1. твой сервер не может достучаться до IP DNS сервера

Клиент не может, точнее пинг есть на сервер DNS, а вот запросы к нему не выполняются.
root писал(а):2. DNS сервер не работает

Он точно работает, т.к. на первом NAS все работает отлично.

От клиента трассировка выполняется, нормально. А страницы сайтов по Ip не открываются.
т.е. пишу в браузере:
Код: Выделить всё
213.180.204.8
получаю чистый лист.

в rc.conf:
Код: Выделить всё
gateway_enable="YES"


NAT задается правилами pf.


Добавил позже
Ничего не понимаю.
в фаере закоментировал все кроме ната и сделал
pass in quick all
pass out quick all

в итоге все заработало, но без защиты.
Правила использовал от FreeBSD 6.2, на FreeBSD 7.2.
Получается правила не подходят?

Добавил еще позже
Переписал правила. Все пошло вроде нормально.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 05 дек 2009, 11:44

Андрей писал(а):Получается правила не подходят?

синтаксис правил не менялся

Андрей писал(а):В том и дело, что с сервера nslookup проходит, а от клиента нет.

значит не работал NAT
если у клиента что то не работает используй tcpdump, он всегда поможет

Андрей писал(а):Переписал правила. Все пошло вроде нормально.

поменял имена интерфейсов скорее всего :)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 VPN-сервера. Организация доступа.

Сообщение Андрей » 05 дек 2009, 15:30

root писал(а):поменял имена интерфейсов скорее всего

Ифейсы не трогал.

root писал(а):синтаксис правил не менялся

Ну смотри.
На FreeBSD 6.2
Код: Выделить всё
# uname -a
FreeBSD Billing 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Wed Sep 12 01:41:09 YEKST 2007     titus@Billing:/usr/obj/usr/src/sys/OLEG  i386

pf работает на этом правиле:
Код: Выделить всё
# dns
pass in quick proto {tcp, udp} from any to <me> port domain flags S/SA keep state


Пишу это же правило в pf на FreeBSD 7.2:
Код: Выделить всё
# uname -a
FreeBSD nas.localhost 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Fri Dec  4 06:03:51 YEKT 2009     nas@nas.localhost:/usr/obj/usr/src/sys/nas_  i386

и не работает.
Переписываю правило на
Код: Выделить всё
# dns
pass in quick proto {tcp, udp} from any to any port domain flags S/SA keep state

И от клиента появляется nslookup.

root писал(а):значит не работал NAT

Ну это если когда
Код: Выделить всё
pfctl -d

При VPN подключении к машине поднимается ng* интерфейс и назначается ip для клиента, заранее указанный в БД.
Код: Выделить всё
# pfctl -s state
all tcp 172.16.0.2:4451 -> 89.237.37.155:51592 -> 205.188.7.120:5190       ESTABLISHED:ESTABLISHED

Получается NAT работает.

Вот сейчас сижу и думаю как лучше сделать, а то получается открыл порт на вход и выход - клиент работает. Как только перекрыл направление - все встает.
Попробую ман освоить, хоть и не раз читал http://house.hcn-strela.ru/BSDCert/BSDA ... pcs02.html .
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: 2 VPN-сервера. Организация доступа.

Сообщение root » 06 дек 2009, 13:07

Андрей писал(а):Ну смотри.

смотрю и вижу, что в первом правиле используется таблица "<me>"
Код: Выделить всё
Таблицы, пример:
    table <goodguys> { 192.0.2.0/24 }
    table <rfc1918> const { 192.168.0.0/16, 172.16.0.0/12, \
       10.0.0.0/8 }
    table <spammers> persist

    block in on fxp0 from { <rfc1918>, <spammers> } to any
    pass  in on fxp0 from <goodguys> to any

содержимого этой таблицы ты не указал, как и IP-адреса абона у которого не работает, содержится ли он или его подсеть в этой таблице
потому я предполагаю, что IP абона или его подсети в этой таблице нету, вот правило и не отрабатывается
вообще странный выбор имени таблицы, т.к. "me" обычно означают все IP-адреса на всех ифейсах этой системы

во втором правиле юзается "any" что означает "любой IP", ессно оно и работает

отсюда делаю вывод:
ты пишешь правила, но не совсем понимаешь что они означают, т.е. ты не разбираешся в возникшем вопросе, а просто тыкаешь "что б заработало"
такой подход не верен.

Андрей писал(а):Попробую ман освоить, хоть и не раз читал

видимо плохо читал, читай еще
я бы читал из первоисточника, я приводил уже тебе эту ссылку не раз: http://www.openbsd.org/faq/pf. Слаб в инглише ? есть http://translate.google.ru/ или прям там на openbsd.org жмем на ru и получаем ман на русском
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Пред.След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 17

cron