freebsd gateway vs. windows desktop

953 megtekintés

Rogton ment minden, most miert kene masik ip tartomanyba atraknom mindent?

Győztes csapaton ne változtass. De ez így egy vesztes csapat. Ha másért nem, hát ezért kellene változtatnod.

Egyébként: ez egy gateway lenne, ugye? A gateway pedig azt jelenti, hogy átjáró. Konkrétan átjáró két hálózat között. Nálad hol van két hálózat? Hiszen a gateway mindkét hálókarija egy hálózaton van! Ez esetben viszont nem lehet korrekt gateway-ed sem.
Ennek megfelelően én még csak olyan gateway-t láttam, ahol a gateway két hálókarija két különböző hálózathoz csatlakozik. Nálam ez eddig evidencia volt, és a gondjaid csak megerősítenek ebben.

Nem vagyok egy hálózati guru, de azt hiszem, az a tény hogy a két hálókari azonos hálózaton van, route-olási gondot okozhat: bejön pl. a gateway-re egy 192.168.1.3 IP címre szánt csomag, és a gateway nem tudja eldönteni, hogy melyik interface-en át küldje tovább; hiszen az IP cím alapján a két interface bármelyikén mehetne, mivel mindkettő a címzett hálózatán van (fogalmam sincs, ilyenkor merre küldi a csomagot, talán a default route felé, ami viszont nálad valószínűleg az ed1).
Ha viszont a belső inteface-t másik IP cím tartományba helyezed át, nem lesz többé gond a route-olással, a címzett IP címe alapgán a gateway egyértelműen el tudja dönteni, hogy melyik interface-en át továbbítsa a címzettnek.

Az eddigi konfigod talán azért működhetett, mert a FreeBSD a szomszédos gépek felé automatikusan felépíti a route-ot. Csakhogy a felé a kliens felé ez úgy tünik nem sikerült neki (talán valami tűzfal az XP-n?), ezért segítened kell neki. Ezt pl. úgy teheted meg, hogy korrekten konfigurálod a hálózatodat.

Talán megtehetnéd azt is, hogy a gateway-en hozzáadsz egy statikus route-ot, ami megmondja, hogy a 192.168.1.3 cím felé a 192.168.1.6-on át vezet az út, de az abszolút korrekt, és automatikusan működő megoldás az lenne, ha az ed2-t és a mögötte lévő gépeket eltérő ip cím tartományba tennéd át.

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hellotok!

Most igy fest a topologia:

ed2 - 192.168.2.5 (tun0) ezen az if-en megy a net
ed1 - 192.168.1.6 -- kliens1: 192.168.1.2; kliens2: 192.168.1.4

es van a 192.168.1.3-as fekete barany :), ami vh nem kap netet.

Mit allitsak meg be, h menjen?

koszi a valaszokat: dozen

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hello!

ed1 - 192.168.1.5
ed2 - 192.168.1.6

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hello!

Atraktam, masik ip tartomanyba az ed1-t.Ez a statikus routing jol hangzik, majd kiprobalom.Egyebkent az ed2 mogotti gepek egy tartomanyba vannak, szal...

Koszi a valaszokat: dozen

0 szavazat

A hozzászóláshoz be kell jelentkezni

Egyebkent az ed2 mogotti gepek egy tartomanyba vannak, szal...

Remek. Az ed2 is legyen abban a tartományban, és az ő ip címe legyen a gateway abban a hálózatban. Viszont semmilyen más géped (interface-ed) ip címe ne legyen abban a tartományban. Ezzel korrekten konfiguráltad a hálózatodat.

Ez a statikus routing jol hangzik, majd kiprobalom.

Ne próbáld, mert nem erre való. A korrekt megoldás a fenti.

Egyébként se biztos, hogy működne: lehet, hogy az volt a gond, hogy a 192.168.1.3 ip cím felé több automatikus route is felépült (az ed1 és az ed2 felé is), vagy csak egy az ed1 felé.
Ha most egy statikus route-ot hozzáadsz az ed2 felé, akkor azzal csak fenntartod (vagy létrehozod) azt az abnormális állapotot, amikor egy ip címre több különböző route is létezik (alapszabály, hogy egy ip címre csak egy route lehet!). Esetleg a statikus route előnyt élvezne ugyan az eltérő automatikus route felett (már ha egyáltalán), és így ez az egyébként inkorrekt konfig is működhetne, de csak kényszermegoldásként jöhetne szóba, ha már minden mást kipróbáltál.

0 szavazat

A hozzászóláshoz be kell jelentkezni

Az még senkinek se tett jót, ha két különböző hálózatban levő két interfésze _ugyanabban_ a címtartományban van. Szóval a belsőt( ? ) megváltoztatnám a helyedben, és csak utána kezdenék a hibán tökölődni ...

0 szavazat

A hozzászóláshoz be kell jelentkezni

Szóval a belsőt( ? ) megváltoztatnám a helyedben, és csak utána kezdenék a hibán tökölődni ...

Csakhogy utána már nem lesz hiba :)
Egy kis rc.conf matatással ed2-t és a mögötte lévő gépeket át kellene tenni egy másik címtartományba (pl. 192.168.2.x) és minden rendben lesz.

0 szavazat

A hozzászóláshoz be kell jelentkezni

Szia!
[quote:e7d2f983c9="dozen"]Mit allitsak meg be, h menjen?

Esetleg szabad kerni egy ifconfig kimenetet? Vagy a Win ipconfig /all kimenetet? rc.conf? Ipf vagy ipfw? Stb., stb...
Szoval nehany reszletet ;)

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hellotok!

Egy olyan problemaba utkoztem, hogy meg 1 kliens erkezett otthonukba. En gondoltam csak radugom a switchre, beallitom a gateway es kesz. De nem megy a net! A helyi halo tokeletesen mukodik.

A gatewayen a messages-be ilyen hibauzeneteket kapok:

"Dec 27 10:38:08 neux-gw kernel: arp: 192.168.1.3 is on ed1 but got reply from 00:e0:7d:bb:ad:57 on ed2"

A net az ed1 interface-n megy, szoval eleve kizart h a desktop ahhoz csatlakozna.
Esetleg vmi tuzfal szabaly hiba lesz? De akkor a tobbi 2 kliensen miert megy rogton minden?

Valakinek van vmi 5lete?

Elore is koszi a valaszokat: dozen

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hellotok!

Itt a tuzfal es az ifconfig kimenet. Ha vki tud legyszives segitsen.

#################
#
# neux-gw firewall v1.0
#
#################

# Macros: interfaces
ext_if="tun0"
int_if="ed2"
int_net="192.168.1.0/24"
neux="192.168.1.2"
gw="192.168.1.6"
service="{21,80,2200,2201,6667}"
NoRoute = "{ 127.0.0.1/8, 172.16.0.0/12, 10.0.0.0/8, 255.255.255.255/32 }"

# options: tune the behavior of pf, default values are given
set loginterface ed2
set loginterface tun0
set optimization normal
set block-policy return
set debug loud

# Normalization: reassemble fragments and resolve or reduce traffic
scrub in all
scrub out all

# NAT
nat on $ext_if from $int_if:network to any -> ($ext_if)

# rdr port to neux

rdr on $ext_if inet proto tcp from any to any port 21 -> $neux port 21
rdr on $ext_if inet proto tcp from any to any port 80 -> $neux port 80
rdr on $ext_if inet proto tcp from any to any port 2200 -> $neux port 2200
rdr on $ext_if inet proto tcp from any to any port 2201 -> $gw port 2201
rdr on $ext_if inet proto tcp from any to any port 6667 -> $neux port 6667
rdr on $ext_if inet proto tcp from any to any port 22 -> 192.168.1.243 port 22
rdr on $ext_if inet proto tcp from any to any port 21 -> 192.168.1.4 port 21

block in log on $ext_if from any to any

# Firewall rules

block in log quick on $ext_if inet from $NoRoute to any
block in log quick on $ext_if inet from any to $NoRoute

#blocking
block in quick on $ext_if from $NoRoute to any

#block nmap scan

block in log quick on $ext_if inet proto tcp from any to any flags FUP/FUP
block in log quick on $ext_if inet proto tcp from any to any flags SF/SFRA
block in log quick on $ext_if inet proto tcp from any to any flags /SFRA

# basic rulez

pass out on $ext_if proto {tcp, udp, icmp} all keep state
pass in on $ext_if all keep state
pass out on $int_if from any to $int_if:network keep state
pass in on $int_if from $int_if:network to any keep state

pass in on $ext_if proto tcp from any to any port 80 flags S/SA
pass in on $ext_if proto tcp from any to any port 21 flags S/SA
pass in on $ext_if proto tcp from any to any port 6667 flags S/SA
pass in on $ext_if proto tcp from any to any port 2200 flags S/SA

pass out on $ext_if proto tcp from any to any port 80 flags S/SA
pass out on $ext_if proto tcp from any to any port 21 flags S/SA
pass out on $ext_if proto tcp from any to any port 6667 flags S/SA
pass out on $ext_if proto tcp from any to any port 2200 flags S/SA

# allow ping
pass in log inet proto icmp icmp-type 8 code 0 keep state label PING0

antispoof for $ext_if
antispoof for $int_if

es az ifconfig kimenet:

ed1: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.2.5 netmask 0xffffff00 broadcast 192.168.2.255
ether 00:50:bf:0b:63:df
ed2: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.1.6 netmask 0xffffffe1 broadcast 192.168.1.30
ether 00:00:b4:b1:f4:4d
pflog0: flags=0<> mtu 33208
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
pfsync0: flags=0<> mtu 2020
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492
inet 87.97.15.32 --> 213.163.27.10 netmask 0xffffffff
Opened by PID 96948
tun1: flags=8010<POINTOPOINT,MULTICAST> mtu 1500

dozen

0 szavazat

A hozzászóláshoz be kell jelentkezni

[quote:931458dc0c="dozen"]Hellotok!

Egy olyan problemaba utkoztem, hogy meg 1 kliens erkezett otthonukba. En gondoltam csak radugom a switchre, beallitom a gateway es kesz. De nem megy a net! A helyi halo tokeletesen mukodik.

A gatewayen a messages-be ilyen hibauzeneteket kapok:

"Dec 27 10:38:08 neux-gw kernel: arp: 192.168.1.3 is on ed1 but got reply from 00:e0:7d:bb:ad:57 on ed2"

A net az ed1 interface-n megy, szoval eleve kizart h a desktop ahhoz csatlakozna.
Esetleg vmi tuzfal szabaly hiba lesz? De akkor a tobbi 2 kliensen miert megy rogton minden?

Valakinek van vmi 5lete?

Elore is koszi a valaszokat: dozen

Mi az ed2 IP-je?

0 szavazat

A hozzászóláshoz be kell jelentkezni

Hello!

En csak azt nem ertem h van 2 kliens, amivel eddig semmi gondom nem volt. Rogton ment minden, most miert kene masik ip tartomanyba atraknom mindent?

Azt sem ertem, hogy plusz 1 kliens mar nem fer be a tartomanyba, azert nem megy a net? :D

bye dozen

0 szavazat

A hozzászóláshoz be kell jelentkezni

ed2: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.1.6 netmask 0xffffffe1 broadcast 192.168.1.30

Miféle netmask ez: 0xffffffe1?????
Úgy választottál netmask-ot, hogy az ed2 hálózatában jelenleg csak a páros ip című gépek vannak benne (mivel az ed2 ip címe is páros)!!!

Miért nem választasz valami értelmesebb netmask-ot az ed2-höz, mint pl: ffffff00, vagy fffffff0 ?
Ilyen netmask-okkal valóban egy ip cím tartomány tartozna az ed2-höz, és nem fésűszerűen csak a páros ip címek, mint most!
A jelen helyzetben a gateway gépednek "igaza van": a 192.168.1.3 nem páros ip cím, azaz NEM TARTOZIK az ed2 hálózatába.

0 szavazat