ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору toshanNEW Цитата: Можно ли, чтобы m0n0wall подключался по VPN к работе? На сколько я могу судить, если вы планируете подключение к PPTP-серверу на работе, то нет, т.к. m0n0wall не имеет PPTP-клиента, а только сервер. Но вы без проблем можете подключиться к работе если вы используете IPSec, то тогда настраивается туннель, прописываются маршруты, правила брандмауэра и вы получаете доступ к вашей рабочей сети. ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 12:50 16-03-2010

toshanNEW Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Но вы без проблем можете подключиться к работе если вы используете IPSec, то тогда настраивается туннель, прописываются маршруты, правила брандмауэра и вы получаете доступ к вашей рабочей сети. Спасибо уже что-то. Методом дедукции, узнал, что Shrew, вроде, подключается по IPsec. Пришлось немного повозиться, чтобы узнать group password... Вобщем вроде настроил, но что дальше, не очень понимаю. Как настраивать маршруты брандмауэр?   Вот, на всякий случай мои настройки: Shrew VPN Client: http://tosha.aihs.net/stuff/Shrew.png m0n0wall IPsec: http://tosha.aihs.net/stuff/m0n0_IPsec.png   Правильно? И как теперь узнать, устанавливается ли соединение?   В Diagnostics - IPsec - SPD есть две строчки: 172.17.0.0/24    192.168.1.0/24        ESP    ... 192.168.1.0/24    172.17.0.0/24        ESP    ...     Спасибо за ответы. Всего записей: 65 | Зарегистр. 20-09-2005 | Отправлено: 21:02 19-03-2010 | Исправлено: toshanNEW, 12:28 20-03-2010

toshanNEW Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да, а ещё не понял куда вводить логин/пароль там? Те, что в Shrew я ввожу:     Всего записей: 65 | Зарегистр. 20-09-2005 | Отправлено: 12:26 20-03-2010 | Исправлено: toshanNEW, 12:28 20-03-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору toshanNEW Цитата: Вобщем вроде настроил, но что дальше, не очень понимаю PFS key group - используется для усложнения перехвата ваших параметров шифрования злоумышленником, поэтому настоятельно рекоммендую включеть данную опцию как минимум group 2. Encryption algorithm, я бы выбрала AES, он превосходит 3Des по скорости. Цитата: И как теперь узнать, устанавливается ли соединение? Diagnostics: "Logs -> System" Цитата: Как настраивать маршруты брандмауэр? Настройка маршрутов вам понадобится если вы убедитесь, что соединение устанавливается, но пакеты между вашими сетями не ходят, для начала установите соединение между двумя интересующими вас точками, затем приступайте к маршрутизации, если понадобится. Цитата: Да, а ещё не понял куда вводить логин/пароль там? Те, что в Shrew я ввожу Вы настраиваете Site-to-Site, вводить логин/пароль не требуется. ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 17:54 20-03-2010

toshanNEW Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Diagnostics: "Logs -> System"         И в чём же может быть проблема? Идентификатор ввожу правильно. Только в логах появляется какая-то лишняя кавычка.   Сейчас настройки в m0n0 такие: http://tosha.aihs.net/stuff/m0n0_new.png Всего записей: 65 | Зарегистр. 20-09-2005 | Отправлено: 00:42 22-03-2010 | Исправлено: toshanNEW, 00:46 22-03-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору toshanNEW Посмотрите, что за параметры доступны в поле "My Identifier"? На сколько я могу судить вами не используется RSA Cert Subject, хотя он там указан. "Negotiation mode" -> Main с обоих сторон! "Encryption algorithm" -> AES (3Des)! ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 15:21 23-03-2010

toshanNEW Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ginger Может быть я не совсем правильно сформулировал просьбу в первом сообщении. Но мне нужно подключиться к рабочей сети, к настройкам которой я доступа не имею. Для подключения я сейчас использую Shrew VPN. А хочу сделать так, чтобы это соединение устанавливалось домашним роутером на базе m0n0...     Если я меняю эти настройки на что-либо другое, то соединение не устанавливается. В предыдущем сообщении вы писали про Site-to-Site, возможно, что у нас в сети не этот тип тоннеля используется?.. Так как я не очень понимаю, как m0n0 будет соединяться хотя бы без пароля... Всего записей: 65 | Зарегистр. 20-09-2005 | Отправлено: 22:18 23-03-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору toshanNEW Цитата: В предыдущем сообщении вы писали про Site-to-Site, возможно, что у нас в сети не этот тип тоннеля используется?.. Так как я не очень понимаю, как m0n0 будет соединяться хотя бы без пароля...   http://doc.m0n0.ch/handbook/examplevpn.html http://www.shrew.net/support/wiki/HowtoMonowall Посмотрите примеры, попробуйте сделать по аналогии. И конечно же настройки должны совпадать с обоих сторон! В противном случае соединение установить между вашей работой и домом не удастся. ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 12:24 24-03-2010

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как в сабже можно отключить "LAN/OPT spoof check"? Из-за него не проходят пакеты со вторичного интерфейса OPT2 в LAN, т.к. сабж сам прописывает: Цитата: block in log quick on lnc3 from ! 192.168.1.0/24 to any Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 11:22 25-10-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PhoenixUA Цитата: Как в сабже можно отключить "LAN/OPT spoof check"? Из-за него не проходят пакеты со вторичного интерфейса OPT2 в LAN, т.к. сабж сам прописывает: Скорее всего вами допущена ошибка в правилах, проверьте их еще раз внимательнее, подобная проблема ни разу не возникала, хотя в системе присутствует, аж OPT5. ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 11:36 25-10-2010

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Проблема присутствует, даже если в самом верху стоит всё разрешающее правило. Да и не в моих правилах дело, т.к. это правило самого m0n0wall.   Цитата: хотя в системе присутствует, аж OPT5. с Secondary IPs? Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 12:14 25-10-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PhoenixUA Тогда расскажите более подробно о вашей схеме сети, что и куда должно маршрутизироваться и т.д... ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 12:37 25-10-2010

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LAN (192.168.10.x) <=> m0n0wall <=> OPT2 (192.168.1.x, 192.168.0.x)   с LAN идут пакеты (напр. ICMP) и на 192.168.1.х и на 192.168.0.х со 192.168.1.х пинг на LAN есть, со 192.168.0.х нет, а надо чтобы был (и не только пинг).   last 50 filter log entries показывает, что Цитата: lnc3 @0:16 b 192.168.0.254 -> 192.168.10.14 PR icmp len 20 60 icmp echo/0 IN ipfstat -nio: Цитата: @16 block in log quick on lnc3 from !192.168.1.0/24 to any Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 13:22 25-10-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PhoenixUA Цитата: LAN (192.168.10.x) <=> m0n0wall <=> OPT2 (192.168.1.x, 192.168.0.x) вот теперь понятно, вы используете со стороны интерфейса OPT2 две разные подсети, и как я поняла у вас так же активна опция secondary с присвоенным адресом из сети 192.168.0.х, в таком случае возможно вам поможет опция bridge, фильтрацию трафика ipfw можно будет отключить. По мимо этого имеется возможность использовать командную строку, скрипт exec.php, через него вы можете выполнить необходимые вам команды вручную, попробуйте тогда модифицировать правило фильтрации которое не удовлетворяет вашим требованием, но на мой взгляд это будет менее правильным решением. ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 14:00 25-10-2010

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ginger Если я правильно понимаю, то при организации бриджа оба интерфейса оказываются в одной подсети, что в данном случае не подходит, т.к. должна быть отдельная подсеть и только определенным адресам из LAN должен быть доступ в OPT2. Правила для ipfilter вроде генерируются в /etc/inc/filter.inc: Цитата:     /* OPT spoof check */     foreach ($optcfg as $on => $oc) {         /* omit for bridged interfaces when the filtering bridge is on */         $isbridged = false;         foreach ($optcfg as $on2 => $oc2) {             if ($oc2['bridge'] && $oc2['bridge_if'] == $on) {                 $isbridged = true;                 break;             }         }                   if ($oc['ip'] && !(($oc['bridge'] || $isbridged) && (isset($config['bridge']['filteringbridge']) || isset($config['bridge']['nospoofcheck'])) ))             $ipfrules .= filter_rules_spoofcheck_generate($on, $oc['if'], $oc['sa'], $oc['sn'], $log, $ipv6); Можно ли как-то отредактировать этот файл? Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 15:15 25-10-2010

ginger Рыжик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PhoenixUA Вы можете перезаписать данный файл своим, получив доступ к имиджу, либо через тот же exec.php, но как я поняла,вам необходимо изолировать сети друг от друга, тогда, возможно лучшим решением будет использовать vlan? правда коммутатор используемый вами, так же должен работать с vlan. ---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 15:22 25-10-2010

PhoenixUA Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ok, загрузил файл через exec.php -> Download, закоментировал процитированные строчки, через Upload загрузил в /tmp/filter.inc exec.php -> cp /tmp/filter.inc /etc/inc/filter.inc reboot После перезагрузки наблюдаю оригинальный filter.inc...  0_0 Код: $ df Filesystem 512-blocks  Used Avail Capacity  Mounted on /dev/md0        31518 27670  3848    88%    / devfs               2     2     0   100%    /dev /dev/ad0a       19662 18072  1590    92%    /cf LAN и OPT2 и так находятся в разных vlan, только m0n0wall об этом ничего не знает ) разделить по vlan подсети на OPT2 не представляется возможным   Добавлено: Цитата: $ cat /var/log/dmesg.boot md0: Preloaded image </mfsroot> 16777216 bytes at 0xc0abc3e8   Добавлено: В общем, решил ограничиться выполнением в exec.php Код: echo "block in log quick on lnc3 from !192.168.1.0/24 to any" | ipf -rf - Правда, это придется делать каждый раз после перезагрузки... Всего записей: 2184 | Зарегистр. 17-11-2005 | Отправлено: 15:51 25-10-2010

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » m0n0wall FireWall/Router

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование