Re: Problemer med pf og vpn connection

From: Allan Wermuth (none@alw--sdf-eu.org.lh.bsd-dk.dk)
Date: Fri 17 Dec 2004 - 11:05:41 CET

Next message: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Previous message: Phil Regnauld: "Re: 5.3 install-problem - løst!"
In reply to: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Next in thread: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Reply: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Fri, 17 Dec 2004 10:05:41 +0000
From: Allan Wermuth <none@alw--sdf-eu.org.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Problemer med pf og vpn connection

On Thu, Dec 16, 2004 at 02:31:21PM +0000, Allan Wermuth wrote:
> On Thu, Dec 16, 2004 at 01:14:54PM +0100, Sven Esbjerg wrote:
> >
> > For det første så har du blokeret for udp og icmp på på ath0. Nu ved jeg ikke
> > hvordan Ciscos VPN protokol virker, men jeg kunne forestille mig det er
> > svarer til RFC protokollerne. Derfor har du brug for at tillade udgående
> > forbindelser til udp port 500.
>
> Undskyld, der var smuttet en linie da jeg klippe/klistrede fra pf.conf.
> Min sidste regel var ikke kommet med, men her er den:
>
> pass out on ath0 proto { udp, icmp } all keep state
>
> > For det andet så er det nemmeste for dig selv at se hvilke pakker der
> > blokeres ved at bruge:
> > tcpdump -n -e -ttt -i pflog0
>
> Det proever jeg.
>

Tjaah, med kommandoen "tcpdump -n -e -ttt -i pflog0", kan jeg også se at en
ping af www.tv2.dk matches af sidste regel i nedenstående.

<pf.conf>
# scrub incoming packets
scrub in all

# setup default deny policy
block all

# pass traffic on the loopback interface
pass quick on lo0 all

# spoofing protection
antispoof quick for em0 inet
antispoof quick for ath0 inet
antispoof quick for tun0 inet

# pass out tcp, udp and icmp
# keep state on udp and icmp and modulate state on tcp
pass out on em0 proto tcp all modulate state flags S/SA
pass out on ath0 proto tcp all modulate state flags S/SA
pass out log on tun0 proto tcp all modulate state flags S/SA
pass out on em0 proto { udp, icmp } all keep state
pass out on ath0 proto { udp, icmp } all keep state
pass out log on tun0 proto { udp, icmp } all keep state
</pf.conf>

Imidlertid får jeg ikke svaret tilbage fra min ping, hvilket jeg ikke
forstår. Indtil videre har jeg været nødsaget til at disable PF (pfctl -d),
når jeg har brug for en VPN connection til min arbejdsgivers netværk.

Endvidere har jeg forsøgsvis prøvet på skift at udkommentere "scrub all" og
antispoofing for tun0. Ingen af delene gjorde nogen forskel i forhold til min
VPN connection.

Umiddelbart er jeg tilbøjelig til at give dem ret, som påstår at PF og VPN
clients bare ikke virker sammen. Min pf.conf er jo forholdsvis simpel, og jeg
kan ikke rigtig se nogen direkte fejl deri, med mindre der er noget vedrørende
PF jeg fuldstændig har misforstået ;-)

Der er nok masser af ting omkring PF, som jeg ikke har forstået, men nu er mit
setup jo forholdsvis simpelt, idet der er tale om en "personal firewall" uden
NAT, rdr, traffic shaping eller queues.

Efterhånden overvejer jeg kraftigt, at installere ipfilter eller ipfw istedet,
i håbet om at det kun er PF som giver problemer med VPN connections.

mvh

-- Allan Wermuth alw@sdf-eu.org

SDF-EU Public Access UNIX System - http://sdf-eu.org

Next message: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Previous message: Phil Regnauld: "Re: 5.3 install-problem - løst!"
In reply to: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Next in thread: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Reply: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:47 CET