ГлавнаяФорумКонтакты

TraffPRO

Скачать

Документация

Контакты

Поддержка

Поиск по сайту:   
Новое
Форум
Популярное
Новости

Выпущена новая версия Биллинга (Корпоративного интернет шлюза, софт роутера) TraffPro 1.4.8!
Все версии:
Доработана система блокировок:
Система автоматически следит за изменениями ip адресов у сайтов.
Система автоматически меняет данные на блокировки в течении всей работы системы, дополняя список блокируемых (разрешённых) ip для переданного администратором домена.
Блокирование по ip даёт гарантию недоступности как по http так и по https.
Блокировка осуществляется не только по http но и полностью ресурса, даже если он будет работать на нестандартном порту.

Добавлена функция блокировки подсетей, формат x.x.x.x/x (для примера 192.168.0.0/24, что в полной трансляции выглядит как сеть - 192.168.0.0 маска подсети - 255.255.255.0)

Блокировка по DNS запросам:
Позволяет блокировать ресурсы на уровне обращения к DNS серверу за предоставлением ip адреса.
Не требует вмешательство в работу DNS.

Добавлен скрипт сбора ip адресов для ручной блокировки по домену.

Файлы языковой поддержки поставляются в не зашифрованном виде, что позволяет менять названия и надписи в интерфейсе административной консоли и личного кабинета по усмотрению администратора.
 
Скачать новую версию для установки или обновления можно здесь



TraffPro 1.4.7Выпущена новая версия Биллинга (Корпоративного интернет шлюза, софт роутера) TraffPro 1.4.7!
Все версии:
  • Добавлена новая политика ядра шейпера, на каждый поток захвата пакетов введены раздельные потоки шейпера с раздльными очередями, несколько потоков шейпера на несколько потоков захвата в одной очереди, независимость потоков исходящего и входящего трафика.
  • Исправлена работа скрипта GOSREESTR загрузка списков блокируемых сайтов рос. реестра.
  • Добавлен отчёт для требований службы безопасности и органов МВД и ФСБ позволяющий:
  • Отобрать по параметрам посещения на домен, ip адрес, порт, по времени и дате.
  • Добавлен отчёт по ТОП (наиболее посещаемым) сайтам по всем пользователям, а так же по отдельному пользователю (пользователям).
  • Формирование блоков архивов посещений клиентов для продолжительного хранения соответствующего требованиям силовых структур, архивация.
  • Добавлен online чат для поддержки клиентов (Online Manager) находящийся на странице входа в клиентский кабинет.
  • Добавлен Online Manager для размещения на сторонних ресурсах, позволяет устанавливать Online Manager на корпоративные сайты, или сайты с информацией для клиентов.
  • Внесение изменений в систему антифлуда, помимо общисистемной конфигурации антифлуда появилась возможность указания независимых настроек антифлуда для отдельных клиентов. .
  • Возможность указывать количество разрешённых пакетов для всех протоколов для конкретного клиента.
  • Возможность указывать количество соединений по TCP и количество пакетов по UDP и прочим протоколам для конкретного клиента.
  • Доработан раздел системной конфигурации, добавлены подсказки наименований параметров в конфигурационном файле /etc/traffpro/traffpro.cfg для тех кто меняет параметры вручную.
  • Исправлена проблема некорректного отображения названий параметров раздела системной конфигурации для Ubuntu, Debian из за ошибки Mysql.
  • Доработано корректное отображение версии и подверсии в административной консоли.
  • Изменено местоположение некоторых пунктов меню, перенесены в меню более соответствующие смысловой нагрузке.
  • Исправлена ошибка установщика приводившая к удалению собственных форм договоров при обновлении.
  • Введено оповещение о выходе новых версий.
Провайдер версия:
  • Добавлена система моментальных платежей Робокасса robokassa.ru
Скачать новую версию можно здесь
Документация к новой версии здесь
Инструкция по быстрой установке, а так же дополнительная информация здесь
 
 
 
 



10.03.15

 
Новая документация по быстрой установке Корпоративного интернет шлюза (биллинга) TraffPro на OS Linux Fedora 20 - 21
 
Установка TraffPro + Fedora 20-21 быстрый старт (How To):
 
http://download.traffpro.ru/docs/1.4.6/howto.pdf
 



23.09.14

В версии 1.4.6-03 добавлена проверка каталогов /var/www или  /var/www/html для новых версий Ubuntu,Debian в которых был изменён каталог с документами html.



3.09.14

Выпущена новая версия TraffPro v 1.4.6

Все версии:
  • Добавлена функция автоподлючения для win информера.
  • Добавлен новый win информер с автоматическим стартом и подключением:
Устанавливать информер с применением групповых политик Active Directory.
Автоматически настраивать информер с помощью командной строки или копирования раздела реестра.
Автоматически авторизоваться клиентам сети не вводя логина и пароля (на основании авторизации ActiveDirectory).
Автоматически подключать интернет при входе на компьютере в свой профиль Windows.
Получать краткую информацию о потреблении трафика.
Автоматически отключаться от интернет при выходе из профиля Windows.
Не требует внесения данных о сетевых картах.
Не требует внесения данных о ip и MAC адресах клиентов.
Автоматически стартует при входе в профиль Windows.
При смене пользователя автоматически меняет данные и переподключает клиента.
Поддержка 32х и 64х битных платформ Windows.

  • Система переведена на более новые системы, теперь доступна установка на Fedora 19-20, Ubuntu 14.
  • Введён параметр отключения шейпера TraffPro, для возможности использования своих шейперов (параметр shaper_enable=false).
  • Введён новый параметр управления передачи в user space количества данных, позволяет уменьшить нагрузку на систему, производится копирование не всего пакета, а только первых 128 байт.(параметр paket_copy_enable=false)
  • Добавлена автоматическая загрузка списка блокируемых сайтов соглассно ФЗ РФ.
  • добавлен скрипт сбора доменов и ip адресов из базы посещений клиентов для блокировок посещений.
  • для OS Linux Fedora новых версий осуществлён совместимый переход на Maria DB
  • Внесены изменения в ядро системы для повышения производительности.
Внимание!!! Изменились системные требования, скачать новые системные требования можно по ссылке
Добавлена новая инструкция по настройке win информера
 



Статистика сайта
Статьи
Популярное
Функции
Голосование
Нужны базовые тарифы?

Да
Нет




Ответить
 OpenVPN за полчаса (FAQ), Работа Траффпро совместно с OpenVPN
michail1958
5 марта 2009 03:23
Сообщение #1



  • 0

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Наконец появилось время, написать небольшой FAQ по использованю OpenVPN-сервера совместно с Траффпро. Итак, какие преимущества даёт VPN канал при использовании совместно с Траффпро? Первое и самое главное, если на Вашем сервере не проедусмотрены Сервисы для доступа из Интернета например FTP или WWW, Вы можете включить защиту Сервера, и запретить соединения из вне по всем портам. Для доступа к внутренним ресурсам сети будет использоваться защищенный VPN-канал. Не придётся писать длинные цепочки правил IP-TABLES, и потом проверять не нарушают ли они работу системы.  
Для администрирования самого сервера из Интернета, думаю целесообразно оставить доступ к нему только по SSH. 
Итак имеем свеженький Сервер Ubuntu8.10 с установленным ТРАФФПРО.
Сеть: внешняя - eth0 333.222.111.123, внутренняя - eth1 192.168.124.1 
Очень рекомендую поднять на нём-же кэширующий DNC. Это избавит от необходимости открывать клиентам внутренней сети порт 53. Так-же у меня поднят SSH-сервер SQUID и сервер DHCP3 (лениво ходить и прописывать юзерам ip-ишники, шлюзы и днс-ы).
 Ставим OpenVPN, для сервера и клиента Linux пакет один и то-же. Для Ubuntu команда: 
apt-get install openvpn 

Для других Линуксов соответствующая команда......
Файлы конфигурации будем укладывать в директорию /etc/openvpn/ , после установки openvpn она пустая, а если там что и есть, лучше енто не трогать. Для того что-бы её не загромождать файлами создадим папку для ключей и сертификатов сервера:
mkdir /etc/openvpn/vpnkeys  

Далее создадим файл конфигурации сервера:
touch /etc/openvpn/server.conf

Создадим файл, где будут отображаться выданные клиентам ip адреса.
touch /etc/openvpn/ipp.txt

Создадим папку куда сервер будет писать логи:
mkdir /var/log/openvpn

Далее наполняем файл server.conf

# Порт на котором сервер работает, протокол и тип интерфейса 
port 1194
proto udp
dev tun
#Место храннения ключей и сертификатов
ca /etc/openvpn/vpnkeys/ca.crt
cert /etc/openvpn/vpnkeys/server.crt
key /etc/openvpn/vpnkeys/server.key # Данный фаил хранить в боольшом секрете!!!!
dh /etc/openvpn/vpnkeys/dh1024.pem
# включаем TLS аутификацию
tls-server
# указываем tls-ключ, и указываем 0 для сервера(1 ставиться для клиента).
tls-auth "/etc/openvpn/vpnkeys/ta.key" 0
# время до переподключения 
tls-timeout 120
auth MD5
#Пул выдаваемых клиентам адресов
server 10.10.10.0 255.255.255.0
#Сюда будем писать какее адреса сервер выдал клиенту
ifconfig-pool-persist "/etc/openvpn/ipp.txt"
#Задаем МАРШРУТ, который передаём клиенту и маску подсети для того чтобы он #"видел" сеть за OpenVPN сервером (сеть 192.168.124.0/24)
push "route 192.168.124.0 255.255.255.0"
# DNS-сервер внутренней сети. Если поднят «настоящий» локальный DNS, тогда
# при установленном vpn-соединении, если подключаться например по Microsoft RDP
# достаточно набрать имя компьютера а не вбивать его ip-шник
push "dhcp-option DNS 192.168.124.1"
# Удерживать установленное соединение(если есть nat или прокся)
keepalive 10 120
# Включаем шифрацию пакетов
cipher BF-CBC
# Включить сжатие
comp-lzo
# Максимум число клиентов
max-clients 6
#Прописываем пользователя и группу, от имени которых будет запускаться VPN:
user nobody
group nogroup
# Не перечитывать ключи после получения
# SIGUSR1 или ping-restart
persist-key
# Не закрывать и переоткрывать TUN\TAP
# устройство, после получения
# SIGUSR1 или ping-restart
persist-tun
# Даём возможность клиентам "видеть" друг друга(не пробовал работает ли это)
client-to-client
# Логи сервера
status "/var/log/openvpn/openvpn-status.log"
log "/var/log/openvpn/openvpn.log"
log-append "/var/log/openvpn/openvpn.log"
# Уровень детализации в логах
verb 3


Ну вот, кажись конфигурацию серверв написали, теперь приступим к созданию ключей для клиентов и сервера
Переходим в директорию со скриптами для генерации ключей
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0

Далее выполняем:
bash

. ./vars

# Очищаем старые ключи, если они есть
./clean-all

# Создаём ca.key (авторитетный сертификат).
./build-ca

# Отвечаем на вопросы где, когда, что......
# Создадём сертификат и приватный ключ для сервера:
./build-key-server server

И отвечаем на вопросы.............
Создаём файл параметров Диффи-Хелмана(О КАК!), предназначенного для обеспечения более надежной защиты данных при установке соединения клиента с сервером, выполняем:
./build-dh

Создаём сертификаты для удаленных клиентов(vova и masha), запускаем:
./build-key vova

И отвечаем на вопросы.............
Далее создаём следующего клиента:
./build-key masha

Сколько хотим клиентов столько и создаём....,но не более того что указали в конфиге.
Под завязку создадим общий для клиента и сервера TLS-ключ:
openvpn --genkey --secret ta.key

Итак, после всех операций в директориии 
/usr/share/doc/openvpn/examples/easy-rsa/2.0/keys мы имеем набор ключей для нашего сервера и клиентов vova и masha
А в директории /usr/share/doc/openvpn/examples/easy-rsa/2.0 лежит ключик ta.key 
который нужен и клиентам и серверу
Для сервера нужны файлы:
server.crt
server.key
ca.crt
ta.key
dh1024.pem
Поместим эти файлы в директорию /etc/openvpn/vpnkeys/
Для клиента vova:
vova.crt
vova.key
ca.crt
ta.key
Для клиента masha:
masha.crt
masha.key
ca.crt
ta.key
Эти ключики передадим нашим клиентам.
Перезапускаем OpenVPN сервер:
/etc/init.d/openvpn restart

Если не ругаеться, то всё нормально, если не стартовал, смотрим логи:
/var/log/openvpn/ и ищем ошибки....

Дальше правим файл traffpro_rule.cfg
Добавим две строчки, давая возможность удалённому клиенту подключаться к ресурсам внутренней сети:
iptables -I FORWARD 1 -i eth1 -o tun0 -j ACCEPT
iptables -I FORWARD 1 -o eth1 -i tun0 -j ACCEPT

tun0 – “внешний” интефейс нашего OpenVPN сервера. 
Набор правил в traffpro_rule.cfg, можно оставить минимальный, ну к примеру только для SSH, Squid и FTP-клиентов во внетренней сети.
Теперь перейдём к клиентам OpenVPN.
Файл конфигурации клиента Windows выглядит так:
client
dev tun
proto udp
#Адрес и порт нашего сервера
remote 333.222.111.123 1194
resolv-retry infinite # Говорят, нужен если пользуешся службой DynDNS
nobind
persist-key
persist-tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\vova.crt"
key "C:\\Program Files\\OpenVPN\\config\\vova.key"
tls-client
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
auth MD5
ns-cert-type server
comp-lzo
verb 3


Файл конфигурации клиента Linux, создаёться на клиенском компьютере в директории /etc/openvpn/ и называеться client.conf, так-же необходило создать директорию для хранения ключиков клиента, например /etc/openvpn/client/.
Файл конфигурации клиента Linux выглядит так:
remote 333.222.111.123 1194
client
dev tun
proto udp
resolv-retry infinite 
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client/masha.crt
key /etc/openvpn/client/masha.key
tls-client
tls-auth /etc/openvpn/client/ta.key 1
auth MD5
comp-lzo
verb 4
mute 20


Ну а дальше всё зависит от тех прав которые Вы предоставите своим удалённым клиентам при доступе в Вашу локальную сеть.
Теперь о подсчёте трафика. При включенной защите сервера, Весь трафик по OpenVPN будет отображаться в отчете по серверу, но порт, по которому набежал трафик VPN-сервера, определяться не будет, так-как соединений идёт по протоколу UDP. Трафик компьютера внутренней сети, к которому Вы подключились через VPN-соединение, Траффпро считать не будет, так-как для него это соединение внути Вашей сетки. И поэтому количество трафика по VPN-соединениям можно оценить только коственно в отчёте по серверу. Теперь о неприятном моменте с которым я столкнулся при работе со SQIUD-ом! При включенном прозрачном СКВИД-е и защите сервера, Траффпро начинает приплюсовывать по СЕРВЕРУ ВЕСЬ ТРАФИК прошедший через Проксю. То есть в отчете «ПО ПОЛЬЗОВАТЕЛЯМ» где фигурируют все клиенты, в том числе и Ваш сервер в графе «ВСЕГО», получиться УДВОЕННЫЙ трафик Ваших клиентов, плюс то что набежало за счёт служб запущенных на сервере. Я думаю разработчики Траффпро знают про эту проблему и найдут пути её решения, так-как от Squid-а отказываться не хочеться....
Вот полезные ссылки по вопровам настройки OpenVPN Сервера:
http://openvpn.net/
И ещё очень хорошая статья по настройке на русском языке:
http://bozza.ru/?c=341&p=content

Примечание: Если требуется объеденить 2 подсети то необходимо в конфиг добавить параметр:
client-config-dir /etc/openvpn/ccd
создать каталог с таким путём
/etc/openvpn/ccd
и положить в него файлик с названием как назвали клиента при генерации ключа с таким примерно содержанием:
iroute 192.168.2.0 255.255.255.0

Сообщение отредактировал Sly - 4 мая 2011 04:05
Перейти в начало страницы
dadka
24 февраля 2010 13:23
Сообщение #2



  • 0

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Доброго времени суток. Можете помочь в поднятии VPN на Fedora 12? Делаю все, как написано в Вашей статье. \"Запнулся\" на шаге - Переходим в директорию со скриптами для генерации ключей. Дело в том, что у меня подобной директории нет. Подскажите, какой файл надо запустить.
Перейти в начало страницы
michail1958
24 февраля 2010 15:11
Сообщение #3



  • 0

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--

Все процедуры по генерации ключей вызываются соответствующими скриптами.

Я думаю Вам достатьчно запустить поиск файла по названию(имя файла, то что стоит после символов   ./ ) Они все находяться в одной директории. К сожалению Fedora знаю плохо и где лежат соответствующие скрипты после установки OpenVPN подсказать не могу. И ещё, когда найдёте папку со скриптами, советую скопировать её например в свою HOME, тогда не придется каждый раз вспоминать где они лежат, если понадобиться заблокировать чей- нибудь ключ или создать новый.


Сообщение отредактировал michail1958 - 25 февраля 2010 01:12
Перейти в начало страницы
gabbler
8 апреля 2011 14:36
Сообщение #4



  • 0

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: michail1958
Ну а дальше всё зависит от тех прав которые Вы предоставите своим удалённым клиентам при доступе в Вашу локальную сеть.
можно подробнее об этом?
все сделано так же как описано выше. Клиент ВПН с сервером связывается успешно. пинги идут от сервера к клиенту, от клиента к серверу. из локалки к клиенту, а вот от клиента в локалку не идут. думаю как раз трафпро и режет трафик от клиента.
Перейти в начало страницы
Sly
8 апреля 2011 16:18
Сообщение #5


Руководитель Проекта
  • 102

Репутация: - 60 +
Группа: Администраторы
Сообщений: 4438
Регистрация: 15.02.2008
ICQ:--
из локалки к клиенту, а вот от клиента в локалку не идут. думаю как раз трафпро и режет трафик от клиента


Если идут в одном направлении значит должны идти в обратном.

--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)
Перейти в начало страницы
gabbler
11 апреля 2011 14:29
Сообщение #6


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: Sly
Если идут в одном направлении значит должны идти в обратном.

необязательно вовсе.
в общем проблема решена путем добавления в iptables маскарадинга интерфейса локалки.
но меня гложат сомнения в правильности этого.

возник другой вопрос.
как лучше настроить трафпро, чтобы вести учет по клиентам впн.
я создал новую группу, сделал внешний интерфейс с адресом впн-сервера, привязал к нему группу, завел нового пользователя. порты не конкретизировал. создал трафик примерно 10 Мб
в отчете мне traffpro выдает:
133 OVPN-Zhirnovsk 0.001

Сообщение отредактировал gabbler - 11 апреля 2011 14:35
Перейти в начало страницы
Sly
11 апреля 2011 15:45
Сообщение #7


Руководитель Проекта
  • 102

Репутация: - 60 +
Группа: Администраторы
Сообщений: 4438
Регистрация: 15.02.2008
ICQ:--
в общем проблема решена путем добавления в iptables маскарадинга интерфейса локалки.


Координально не верно.

133 OVPN-Zhirnovsk 0.001


Скорее всего вы что то напортачили с iptables

--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)
Перейти в начало страницы
gabbler
11 апреля 2011 16:49
Сообщение #8


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: Sly
Скорее всего вы что то напортачили с iptables

могу выложить вывод iptables -L
заодно может и подскажете, где я напортачил, что у меня впн не заходит в сеть

Chain INPUT (policy DROP)
target     prot opt source               destination        
SSHBRUT    tcp  --  anywhere             anywhere            tcp dpt:rockwell-csp2 state NEW recent: UPDATE seconds: 900 hit_count: 2 name: DEFAULT side: source
SSHCONNECT  tcp  --  anywhere             anywhere            tcp dpt:rockwell-csp2 state NEW recent: SET name: DEFAULT side: source
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:rockwell-csp2
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            state RELATED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:nicname
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:rmt
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:xinuexpansion3
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:6843
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:openvpn
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:pptp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:sip
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:ndmp:dnp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:5900
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:5900:5906
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:tproxy
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:oms
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:6883
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:51413
ACCEPT     udp  --  anywhere             anywhere            udp dpts:avt-profile-1:5082
ACCEPT     udp  --  anywhere             anywhere            udp dpts:ndmp:dnp
bad_tcp_packets  tcp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state NEW
ACCEPT     icmp --  192.168.0.0/21       anywhere            
icmp_packets  icmp --  anywhere             anywhere            
tcp_packets  tcp  --  192.168.0.0/21       anywhere            
DROP       tcp  --  anywhere             anywhere            
udp_packets  udp  --  192.168.0.0/21       anywhere            
DROP       udp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
LOG        tcp  --  anywhere             anywhere            tcp flags:RST/RST,ACK limit: avg 5/min burst 5 LOG level notice prefix `SYN/RST'
DROP       tcp  --  anywhere             anywhere            tcp flags:RST/RST,ACK
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5

Chain FORWARD (policy DROP)
target     prot opt source               destination        
DROP       tcp  --  192.168.0.0/21       anywhere            tcp dpt:smtp
bad_tcp_packets  tcp  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state NEW
ACCEPT     all  --  anywhere             anywhere            

Chain SSHBRUT (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere            LOG level debug prefix `BROUTFORCE:'
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain SSHCONNECT (1 references)
target     prot opt source               destination        
LOG        all  --  anywhere             anywhere            LOG level debug prefix `SSHINCON:'

Chain bad_tcp_packets (2 references)
target     prot opt source               destination        
REJECT     tcp  --  anywhere             anywhere            tcp flags:SYN,ACK/SYN,ACK state NEW reject-with tcp-reset

Chain icmp_packets (1 references)
target     prot opt source               destination        
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
DROP       icmp --  anywhere             anywhere            

Chain tcp_packets (1 references)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nicname
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:rmt
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:xinuexpansion3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6843
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:openvpn
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pptp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:sip
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:5900
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:tproxy
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:oms
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:6883
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:51413
DROP       tcp  --  anywhere             anywhere            

Chain udp_packets (1 references)
target     prot opt source               destination        
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere            udp dpt:61194
ACCEPT     udp  --  anywhere             anywhere            udp dpt:oms
ACCEPT     udp  --  anywhere             anywhere            udp dpt:rfa
ACCEPT     udp  --  anywhere             anywhere            udp dpt:6357
ACCEPT     udp  --  anywhere             anywhere            udp dpt:6883
DROP       udp  --  anywhere             anywhere

Сообщение отредактировал gabbler - 12 апреля 2011 02:52
Перейти в начало страницы
Sly
11 апреля 2011 17:48
Сообщение #9


Руководитель Проекта
  • 102

Репутация: - 60 +
Группа: Администраторы
Сообщений: 4438
Регистрация: 15.02.2008
ICQ:--
а можно такой командой:

iptables-save -c

только с ключём -c обязательно

--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)
Перейти в начало страницы
gabbler
11 апреля 2011 21:34
Сообщение #10


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
конечно можно.
iptables-save -c
# Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011
*nat
:PREROUTING ACCEPT [1540:116718]
:POSTROUTING ACCEPT [269:22596]
:OUTPUT ACCEPT [426:34625]
[562:54798] -A POSTROUTING -o eth0 -j MASQUERADE
[0:0] -A POSTROUTING -o eth2 -j MASQUERADE
[0:0] -A POSTROUTING -o tap0 -j MASQUERADE
[0:0] -A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Mon Apr 11 21:16:49 2011
# Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011
*mangle
:PREROUTING ACCEPT [11675:1338448]
:INPUT ACCEPT [5186887:677115381]
:FORWARD ACCEPT [14753770:6540821193]
:OUTPUT ACCEPT [11642:3349715]
:POSTROUTING ACCEPT [2942734:1776353641]
COMMIT
# Completed on Mon Apr 11 21:16:49 2011
# Generated by iptables-save v1.3.5 on Mon Apr 11 21:16:49 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [1:40]
:OUTPUT ACCEPT [89:32574]
:SSHBRUT - [0:0]
:SSHCONNECT - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --update --seconds 900 --hitcount 2 --name DEFAULT --rsource -j SSHBRUT
[1:60] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -m state --state NEW -m recent --set --name DEFAULT --rsource -j SSHCONNECT
[668:50789] -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -j ACCEPT
[587:48524] -A INPUT -i lo -j ACCEPT
[6873:793525] -A INPUT -m state --state ESTABLISHED -j ACCEPT
[1:70] -A INPUT -m state --state RELATED -j ACCEPT
[1:60] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 43 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 143 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 411 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 2023 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6843 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 5060 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 10000:20000 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 5900 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 5900:5906 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 8081 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 4662 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 6883 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 51413 -j ACCEPT
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 5004:5082 -j ACCEPT
[0:0] -A INPUT -i eth0 -p udp -m udp --dport 10000:20000 -j ACCEPT
[614:29488] -A INPUT -p tcp -j bad_tcp_packets
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[915:72640] -A INPUT -i eth1 -j ACCEPT
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p udp -m state --state NEW -j ACCEPT
[0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p icmp -j ACCEPT
[2:122] -A INPUT -i eth0 -p icmp -j icmp_packets
[0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p tcp -j tcp_packets
[5:232] -A INPUT -i eth0 -p tcp -j DROP
[0:0] -A INPUT -s 192.168.0.0/255.255.248.0 -i eth1 -p udp -j udp_packets
[0:0] -A INPUT -i eth0 -p udp -j DROP
[0:0] -A INPUT -i tap+ -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags RST RST,ACK -m limit --limit 5/min -j LOG --log-prefix "SYN/RST" --log-level 5
[0:0] -A INPUT -i eth0 -p tcp -m tcp --tcp-flags RST RST,ACK -j DROP
[49:2376] -A INPUT -i ! eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
[0:0] -A INPUT -i ! eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
[0:0] -A INPUT -i ! eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.248.0 -i eth0 -p tcp -m tcp --dport 25 -j DROP
[1353:237658] -A FORWARD -p tcp -j bad_tcp_packets
[1249:118134] -A FORWARD -i eth1 -j ACCEPT
[1078:244847] -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -o tap+ -j ACCEPT
[0:0] -A FORWARD -i tap+ -j ACCEPT
[0:0] -A FORWARD -o tun+ -j ACCEPT
[0:0] -A FORWARD -i tun+ -j ACCEPT
[587:48524] -A OUTPUT -o lo -j ACCEPT
[5561:2502092] -A OUTPUT -o eth1 -j ACCEPT
[5316:760208] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[89:6317] -A OUTPUT -p udp -m state --state NEW -j ACCEPT
[0:0] -A OUTPUT -o tap+ -j ACCEPT
[0:0] -A SSHBRUT -j LOG --log-prefix "BROUTFORCE:" --log-level 7
[0:0] -A SSHBRUT -j REJECT --reject-with icmp-port-unreachable
[1:60] -A SSHCONNECT -j LOG --log-prefix "SSHINCON:" --log-level 7
[0:0] -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 3 -j ACCEPT
[2:122] -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A icmp_packets -p icmp -j DROP
[0:0] -A tcp_packets -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 43 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 53 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 80 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 110 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 143 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 443 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 411 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 2023 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 6843 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1194 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 1723 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 5060 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 5900 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 8081 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 4662 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 6883 -j ACCEPT
[0:0] -A tcp_packets -p tcp -m tcp --dport 51413 -j ACCEPT
[0:0] -A tcp_packets -p tcp -j DROP
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 53 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 61194 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 4662 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 4672 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 6357 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -m udp --dport 6883 -j ACCEPT
[0:0] -A udp_packets -i eth0 -p udp -j DROP
COMMIT
# Completed on Mon Apr 11 21:16:49 2011

на самом деле уже просто закопался с этим вопросом.
может уже мозг не работает в нужном направлении
тут обнаружил, на форуме вы уже писали, что надо пару строк добавить
в /etc/traffpro/traffpro_rule.cfg
iptables -A FORWARD -i net1 -o net2 -j ACCEPT
iptables -A FORWARD -o net1 -i net2 -j ACCEPT
у меня они есть. но net1 и net2 указаны интерфейсами.
может правильнее сделать адресами сетей?? 10.8.0.1/24 192.168.0.0/21
Перейти в начало страницы
gabbler
12 апреля 2011 08:49
Сообщение #11


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
с утра еще покурил сэмпл-конфиг из опенвпн (/usr/share/doc/openvpn/sample-config-files/firewall.sh)
во последних строках скрипта
# Masquerade local subnet
# Masquerade local subnet
iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -o eth0 -j MASQUERADE
Перейти в начало страницы
Sly
12 апреля 2011 10:32
Сообщение #12


Руководитель Проекта
  • 102

Репутация: - 60 +
Группа: Администраторы
Сообщений: 4438
Регистрация: 15.02.2008
ICQ:--
У Вас вообще то iptables не верно настроен, сотрите все свои правила, вытрите файл /etc/sysconfig/iptables, так же затрите правила которые писали в traffpro_rule.cfg.
И ещё один момент, почему openvpn?
Мы с ним один раз уже не хорошо столкнулись, он сам правила ставит в iptables и чем начинает конфликтовать с traffpro. Он открывает доступ всем и вся. по этом у вас трафик и 0.0001, в настройках openvpn мы где то отключали, но это нужно уточнять что тогда выключили.

--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)
Перейти в начало страницы
gabbler
12 апреля 2011 12:29
Сообщение #13


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: Sly
он сам правила ставит в iptables и чем начинает конфликтовать с traffpro.
остановил OpenVPN. переписал правила.
чисто для эксперимента стартанул OpenVPN и еще раз вывел правила. ничего он в iptables не добавил.
Цитата: Sly
И ещё один момент, почему openvpn?
а почему TraffPro?
мне начальство заявило, что только трафпро и опенвпн.

Цитата: Sly
У Вас вообще то iptables не верно настроен,

он у меня переписывается при запуске системы скриптом, который много лет уже работает во многих местах и никаких нареканий не было (правда в паре со сквидом). а после в него добавляются правила трафпро

Цитата: Sly
сотрите все свои правила, вытрите файл /etc/sysconfig/iptables, так же затрите правила которые писали в traffpro_rule.cfg.
и выкиньте сервер winked

Сообщение отредактировал gabbler - 12 апреля 2011 12:30
Перейти в начало страницы
gabbler
12 апреля 2011 14:25
Сообщение #14


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: Sly
И ещё один момент, почему openvpn?

например поэтому
Перейти в начало страницы
darknet
12 апреля 2011 14:40
Сообщение #15


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: gabbler
мне начальство заявило, что только трафпро и опенвпн.

спасибо, посмеялся
Перейти в начало страницы
Sly
12 апреля 2011 14:48
Сообщение #16


Руководитель Проекта
  • 102

Репутация: - 60 +
Группа: Администраторы
Сообщений: 4438
Регистрация: 15.02.2008
ICQ:--
он у меня переписывается при запуске системы скриптом, который много лет уже работает во многих местах и никаких нареканий не было (правда в паре со сквидом). а после в него добавляются правила трафпро



А вы уверены что своимми правилами не перекрыли правила traffpro?

[1249:118134] -A FORWARD -i eth1 -j ACCEPT
[1078:244847] -A FORWARD -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -o tap+ -j ACCEPT
[0:0] -A FORWARD -i tap+ -j ACCEPT
[0:0] -A FORWARD -o tun+ -j ACCEPT
[0:0] -A FORWARD -i tun+ -j ACCEPT
[587:48524] -A OUTPUT -o lo -j ACCEPT


Вы перекрыли данными правилами учёт и у вас большая часть трафа пошла мимо traffpro, по этому я и сказал Вам затереть свои правила.

--------------------
Учёт трафика бывает очень интересен, некоторые со мной не согласны, а зря :)
Перейти в начало страницы
gabbler
12 апреля 2011 16:39
Сообщение #17


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Цитата: Sly
Вы перекрыли данными правилами учёт и у вас большая часть трафа пошла мимо traffpro, по этому я и сказал Вам затереть свои правила.
что я там затер неизвестно. я только неделю на новом месте. iptables у сервака девственно чистые, как будто вчера поставлен. а судя по логам уже пол-года минимум.
Sly, я только сегодня утром прочел следующее
Цитата: voler
Также если вы используете защиту TRAFFPRO рекомендую цепочки ssh оставить -j ACCEPT, а все остальные должны быть -j QUEUE. А иначе трафик по ним считаться не будет.

в соответствии с этим подредактировал скрипт. сейчас учет работает.
просто нигде в документации на этом моменте не заостряется внимание.
думаю это надо поправить. потому что это вызывает много вопросов, которых бы не было.
Цитата: darknet
спасибо, посмеялся

я бы тоже посмеялся но в связи с недельным пребыванием на новом месте вынужден смеяться про себя ))
Перейти в начало страницы
kazakov-fmf
26 июля 2011 17:02
Сообщение #18


Руководитель Проекта
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Здравствуйте. Может кто нить помочь с настройкой openvpn?
Есть 4 офиса. В 2х самых крупных используется ideco ics 4. В остальных (2) траффпро. Соединение используется точка-точка, уже подключены 2 офиса с ideco, необходимо подключить 3й с ubuntu.

Внутрення сеть в головном офисе 192.168.1.0/24, для опенвпн 10.128.0.0
Во втором офисе 192.168.9.0/24. для опенвпн 10.10.0.0


Прописаны маршруты:
route add -net

192.168.1.0 tun0
10.128.0.0 tun0
(второй офис)
и
192.168.9.0 интерфейс_openvpn
10.10.0.0/24 интерфейс_openvpn
(головной офис)

Как мне подключить офис с ubuntu к головному филиалу (клиент серверный вариант не предлагать)?

Прописал конфиг в ubuntu.

mode p2p
local внешний_адрес_ubuntu_client
remote внешний_адрес_ideco_главный_офис
secret /etc/openvpn/keys/openvpn.rsa.key
port 1194
proto udp
dev tun0
dev-type tun
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
ifconfig 10.10.0.1 192.168.1.254
verb 1



Поднимается устройство tun0

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.10.0.1 P-t-P:192.168.1.254 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:504 (504.0 B)

Пробую с ubuntu сделать ping 192.168.1.254 (локальный ip ideco) - некатит...

С другого терминала:
tcpdump -pnvi tun0
tcpdump: listening on tun0, link-type RAW (Raw IP), capture size 96 bytes
13:21:42.983832 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
10.10.0.1 > 192.168.1.254: ICMP echo request, id 11288, seq 1, length 64
13:21:43.991117 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)




вот openvpn.log

Mon Jul 25 17:48:19 2011 SIGUSR1[soft,ping-restart] received, process restarting
Mon Jul 25 17:48:21 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Jul 25 17:48:21 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Mon Jul 25 17:48:21 2011 Re-using pre-shared static key
Mon Jul 25 17:48:21 2011 LZO compression initialized
Mon Jul 25 17:48:21 2011 Preserving previous TUN/TAP instance: tun0
Mon Jul 25 17:48:21 2011 UDPv4 link local (bound): [AF_INET]85.123.32.205:1194
Mon Jul 25 17:48:21 2011 UDPv4 link remote: [AF_INET]85.234.31.26:1194
Mon Jul 25 17:50:21 2011 Inactivity timeout (--ping-restart), restarting
Mon Jul 25 17:50:21 2011 SIGUSR1[soft,ping-restart] received, process restarting
Mon Jul 25 17:50:23 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Jul 25 17:50:23 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/keys/openvpn.rsa.key
Mon Jul 25 17:50:23 2011 Re-using pre-shared static key
Mon Jul 25 17:50:23 2011 LZO compression initialized
Mon Jul 25 17:50:23 2011 Preserving previous TUN/TAP instance: tun0
Mon Jul 25 17:50:23 2011 UDPv4 link local (bound): [AF_INET]85.123.32.205:1194
Mon Jul 25 17:50:23 2011 UDPv4 link remote: [AF_INET]85.234.31.26:1194



Что я сделал не так?

Сообщение отредактировал kazakov-fmf - 26 июля 2011 20:28
Перейти в начало страницы
voler
31 августа 2011 08:04
Сообщение #19


Ветеран
  • 102

Репутация: - 15 +
Группа: Администраторы
Сообщений: 1253
Регистрация: 17.02.2008
ICQ:238860819
Стоит задача объединить два сервера с Траафпро по openvpn.

Вот листинг настроек сервера.
port 1194
proto udp
dev tun
ca /etc/openvpn/vpnkeys/ca.crt
cert /etc/openvpn/vpnkeys/server.crt
key /etc/openvpn/vpnkeys/server.key
dh /etc/openvpn/vpnkeys/dh1024.pem
tls-server
tls-auth "/etc/openvpn/vpnkeys/ta.key" 0
tls-timeout 120
auth MD5
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist "/etc/openvpn/ipp"
push "route 192.168.10.0 255.255.255.0"
push "route 192.168.11.0 255.255.255.0"
push "dhcp-option DNS 192.168.20.1"
keepalive 10 120
cipher BF-CBC
comp-lzo
max-clients 6
user nobody
group nobody
persist-key
persist-tun
client-to-client
status "/var/log/openvpn/openvpn-status.log"
log "/var/log/openvpn/openvpn.log"
log-append "/var/log/openvpn/openvpn.log"
verb 3


Добавил правила iptables
iptables -t mangle -A PREROUTING -s 10.10.10.0/24 -d 192.168.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 10.10.10.0/24 -s 192.168.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -s 10.10.10.0/24 -d 192.168.10.0/24 -j ACCEPT
iptables -t mangle -A PREROUTING -d 10.10.10.0/24 -s 192.168.10.0/24 -j ACCEPT


Перешел к настройке openvpn клиента на втором сервере с установленным Траффпро.
client
dev tun
proto udp
remote 91.ХХ.ХХХ.ХХ 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/kursakovo.crt
key /etc/openvpn/kursakovo.key
tls-client
tls-auth "/etc/openvpn/ta.key" 1
auth MD5
ns-cert-type server
comp-lzo
verb 3


И добавил правила
iptables -t mangle -A PREROUTING -s 192.168.10.0/24 -d 10.10.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -d 192.168.10.0/24 -s 10.10.10.0/24 -j ACCEPT
iptables -t mangle -A POSTROUTING -s 192.168.10.0/24 -d 10.10.10.0/24 -j ACCEPT
iptables -t mangle -A PREROUTING -d 192.168.10.0/24 -s 10.10.10.0/24 -j ACCEPT


Связь появилась, т.е. сервер Траффпро являющейся клиентом OPENVPN стал видеть подсети другого роутера.
Но вот заставить видеть подсети с сервера openvpn клиента не получается.
Так на обоих серверах включен редирект авторизации, это усложняет работу.




--------------------
Внимание!
Штатный телепат проекта ушел в отпуск, поэтому на вопросы вида "у меня ничего не работает. как исправить?" мы не отвечаем.

Где я часто бываю
Свободное время

Вопрос, найди ответ
Перейти в начало страницы
ULtimAte
15 мая 2012 12:45
Сообщение #20


Ветеран
  • 102

Репутация: - 0 +
Группа: Гости
Сообщений: 0
Регистрация: 1.01.1970
ICQ:--
Добрый день!
пытаюсь поднять openvpn и возникла следующая проблема..
Есть сервер траффпро с двумя провайдерами, работающими одновременно
1 провайдер выдает статический ip адрес
нужно соответственно клиента подцепить к локальной сети через этого провайдера, чтобы он видел файловый сервер в локальной сети и выходил в интернет уже через траффпро.

проблема в следующем:
подключается клиент, получает ip адрес, видит сервер(виртуальный ip сервера с openvpn и локальный ip траффпро), видит интернет, но не видит локальную сеть

сервер видит клиента..
из локальной сети невидно клиента...

собственно настройки сервера openvpn:

port 1194
proto udp
dev tun
ca /etc/openvpn/vpnkeys/ca.crt
cert /etc/openvpn/vpnkeys/server.crt
key /etc/openvpn/vpnkeys/server.key dh /etc/openvpn/vpnkeys/dh1024.pem
tls-server
tls-auth "/etc/openvpn/vpnkeys/ta.key" 0
tls-timeout 120
auth MD5
server 192.168.50.0 255.255.255.0
ifconfig-pool-persist "/etc/openvpn/ipp.txt"
push "route 192.168.0.0 255.255.255.255 192.168.50.0"
push redirect-gateway
push "dhcp-option DNS 192.168.0.30"
push "dhcp-option DNS 94.100.91.2" #днс провайдера
keepalive 10 120
cipher BF-CBC
comp-lzo
max-clients 6
user nobody
group nogroup
persist-key
persist-tun
client-to-client
status "/var/log/openvpn/openvpn-status.log"
log "/var/log/openvpn/openvpn.log"
log-append "/var/log/openvpn/openvpn.log"
verb 3



Буду благодарен за помощь... надо добить данную проблему и можно смело покупать))) в остальном полностью устраивает функционал

я так понимаю затык в маршрутизации...

iptables-save -c



# Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
[30335:3941191] -A INPUT -i lo -j ACCEPT
[84146:17410495] -A INPUT -i eth0 -j NFQUEUE --queue-num 0
[35864:6610795] -A INPUT -i eth1 -j NFQUEUE --queue-num 0
[132762:15665056] -A INPUT -j ACCEPT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i eth0 -j NFQUEUE --queue-num 0
[0:0] -A INPUT -i eth1 -j NFQUEUE --queue-num 0
[0:0] -A INPUT -j ACCEPT
[0:0] -A FORWARD -p tcp -m mark --mark 0xfffd -j DROP
[0:0] -A FORWARD -p tcp -m mark --mark 0xfffe -j DROP
[0:0] -A FORWARD -p tcp -m mark --mark 0xffff -j DROP
[1:60] -A FORWARD -i eth2 -o tun0 -j ACCEPT
[0:0] -A FORWARD -i tun0 -o eth2 -j ACCEPT
[73302:62375339] -A FORWARD -j ACCEPT
[30414:3948774] -A OUTPUT -o lo -j ACCEPT
[89987:8249558] -A OUTPUT -o eth0 -j NFQUEUE --queue-num 0
[39060:3167428] -A OUTPUT -o eth1 -j NFQUEUE --queue-num 0
[84751:20828748] -A OUTPUT -j ACCEPT
[0:0] -A OUTPUT -o lo -j ACCEPT
[0:0] -A OUTPUT -o eth0 -j NFQUEUE --queue-num 0
[0:0] -A OUTPUT -o eth1 -j NFQUEUE --queue-num 0
[0:0] -A OUTPUT -j ACCEPT
COMMIT
# Completed on Tue May 15 12:42:51 2012
# Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [3407:628434]
:FORWARD ACCEPT [73303:62375399]
:OUTPUT ACCEPT [3672:1639692]
:POSTROUTING ACCEPT [0:0]
[108:12940] -A PREROUTING -i lo -j ACCEPT
[53223:60586485] -A PREROUTING -i eth0 -j ACCEPT
[0:0] -A PREROUTING -i lo -j ACCEPT
[0:0] -A PREROUTING -i eth1 -j ACCEPT
[384:24256] -A PREROUTING -d 192.168.0.30/32 -j ACCEPT
[276:19592] -A PREROUTING -d 192.168.0.35/32 -j ACCEPT
[0:0] -A PREROUTING -i lo -j ACCEPT
[25112:2730382] -A PREROUTING -j NFQUEUE --queue-num 0
[108:12940] -A POSTROUTING -o lo -j ACCEPT
[25395:3791584] -A POSTROUTING -o eth0 -j ACCEPT
[0:0] -A POSTROUTING -o lo -j ACCEPT
[64:5376] -A POSTROUTING -o eth1 -j ACCEPT
[382:79739] -A POSTROUTING -s 192.168.0.30/32 -j ACCEPT
[269:88744] -A POSTROUTING -s 192.168.0.35/32 -j ACCEPT
[0:0] -A POSTROUTING -o lo -j ACCEPT
[50745:60035930] -A POSTROUTING -j NFQUEUE --queue-num 0
COMMIT
# Completed on Tue May 15 12:42:51 2012
# Generated by iptables-save v1.4.8 on Tue May 15 12:42:51 2012
*nat
:PREROUTING ACCEPT [1923:114638]
:POSTROUTING ACCEPT [7:492]
:OUTPUT ACCEPT [1056:77863]
[0:0] -A PREROUTING -p tcp -m mark --mark 0xfffd -j REDIRECT --to-ports 80
[0:0] -A PREROUTING -p tcp -m mark --mark 0xfffe -j REDIRECT --to-ports 80
[0:0] -A PREROUTING -p tcp -m mark --mark 0xffff -j REDIRECT --to-ports 80
[2376:150776] -A POSTROUTING -o eth0 -j SNAT --to-source 95.172.43.170
[16:1344] -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.10.10
COMMIT
# Completed on Tue May 15 12:42:51 2012

Перейти в начало страницы
Быстрый ответ Ответить
1чел. читают эту тему (гостей: 1)
Пользователей: 0

  Сейчас: 27 июня 2019 11:07