Date: Thu, 16 Dec 2004 13:14:54 +0100 From: Sven Esbjerg <none@esbjerg--xbsd.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Problemer med pf og vpn connection
On Thu, Dec 16, 2004 at 12:06:49PM +0000, Allan Wermuth wrote:
> Jeg har installeret pf paa min laptop, som koerer FreeBSD 5.3 Release.
> Mit regelsaet virker fint, indtil jeg starter en VPN connection til min
> arbejdsplads. VPN clienten er vpnc (Cisco klient, som findes i ports),
> og min connection virker fint, hvis bare ikke pf er enablet.
> Mit fuldstaendige regelsaet (pf.conf) ser saadan ud:
> [...snip...]
> block on ath0 all
> [...snip...]
> antispoof quick for ath0 inet
> # pass out tcp, udp and icmp
> # keep state on udp and icmp and modulate state on tcp
> pass out on em0 proto tcp all modulate state flags S/SA
> pass out on ath0 proto tcp all modulate state flags S/SA
> pass out on em0 proto { udp, icmp } all keep state
> [...snip...]
> Det skal lige naevnes, at em0 er mit alm. indbyggede netkort,
> og ath0 er det wireless.
For det første så har du blokeret for udp og icmp på på ath0. Nu ved jeg ikke
hvordan Ciscos VPN protokol virker, men jeg kunne forestille mig det er
svarer til RFC protokollerne. Derfor har du brug for at tillade udgående
forbindelser til udp port 500.
For det andet så er det nemmeste for dig selv at se hvilke pakker der
blokeres ved at bruge:
tcpdump -n -e -ttt -i pflog0
på din maskine. Jeg kan ikke huske om man stadig skal bruge pftcpdump på
freebsd eller det er blive bygget ind i standard tcpdump, men det kan du vel
selv find ud af.
Mvh
Sven Esbjerg
-- http://www.usenet.dk/netikette - på forhånd tak.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:47 CET