Re: Problemer med pf og vpn connection

From: Allan Wermuth (none@alw--sdf-eu.org.lh.bsd-dk.dk)
Date: Fri 17 Dec 2004 - 11:16:49 CET

Next message: Sven Esbjerg: "Re: 5.3 install-problem - løst!"
Previous message: Allan Wermuth: "Re: Problemer med pf og vpn connection"
In reply to: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Next in thread: Hroi Sigurdsson: "Re: Problemer med pf og vpn connection"
Reply: Hroi Sigurdsson: "Re: Problemer med pf og vpn connection"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Fri, 17 Dec 2004 10:16:49 +0000
From: Allan Wermuth <none@alw--sdf-eu.org.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Problemer med pf og vpn connection

On Fri, Dec 17, 2004 at 10:05:41AM +0000, Allan Wermuth wrote:
>
> Tjaah, med kommandoen "tcpdump -n -e -ttt -i pflog0", kan jeg også se at en
> ping af www.tv2.dk matches af sidste regel i nedenstående.
>
> <pf.conf>
> # scrub incoming packets
> scrub in all
>
> # setup default deny policy
> block all
>
> # pass traffic on the loopback interface
> pass quick on lo0 all
>
> # spoofing protection
> antispoof quick for em0 inet
> antispoof quick for ath0 inet
> antispoof quick for tun0 inet
>
> # pass out tcp, udp and icmp
> # keep state on udp and icmp and modulate state on tcp
> pass out on em0 proto tcp all modulate state flags S/SA
> pass out on ath0 proto tcp all modulate state flags S/SA
> pass out log on tun0 proto tcp all modulate state flags S/SA
> pass out on em0 proto { udp, icmp } all keep state
> pass out on ath0 proto { udp, icmp } all keep state
> pass out log on tun0 proto { udp, icmp } all keep state
> </pf.conf>
>
> Imidlertid får jeg ikke svaret tilbage fra min ping, hvilket jeg ikke
> forstår. Indtil videre har jeg været nødsaget til at disable PF (pfctl -d),
> når jeg har brug for en VPN connection til min arbejdsgivers netværk.
>
> Endvidere har jeg forsøgsvis prøvet på skift at udkommentere "scrub all" og
> antispoofing for tun0. Ingen af delene gjorde nogen forskel i forhold til min
> VPN connection.
>
> Umiddelbart er jeg tilbøjelig til at give dem ret, som påstår at PF og VPN
> clients bare ikke virker sammen. Min pf.conf er jo forholdsvis simpel, og jeg
> kan ikke rigtig se nogen direkte fejl deri, med mindre der er noget vedrørende
> PF jeg fuldstændig har misforstået ;-)
>
> Der er nok masser af ting omkring PF, som jeg ikke har forstået, men nu er mit
> setup jo forholdsvis simpelt, idet der er tale om en "personal firewall" uden
> NAT, rdr, traffic shaping eller queues.
>
> Efterhånden overvejer jeg kraftigt, at installere ipfilter eller ipfw istedet,
> i håbet om at det kun er PF som giver problemer med VPN connections.

Jeg tilføjer lige en kommentar til mit eget indlæg.

Jeg har forsøgsvis også kørt med et regelsæt, som kun sætter default block for
em0 og ath0, og sætter en default pass for tun0, både ind og ud. Ligelidt hjalp
det.

Jeg troede, at følgende ville åbne fuldstændig for tun0

pass log quick on tun0 all

Det er sgu' møstisk ;-)

mvh

-- Allan Wermuth alw@sdf-eu.org

SDF-EU Public Access UNIX System - http://sdf-eu.org

Next message: Sven Esbjerg: "Re: 5.3 install-problem - løst!"
Previous message: Allan Wermuth: "Re: Problemer med pf og vpn connection"
In reply to: Allan Wermuth: "Re: Problemer med pf og vpn connection"
Next in thread: Hroi Sigurdsson: "Re: Problemer med pf og vpn connection"
Reply: Hroi Sigurdsson: "Re: Problemer med pf og vpn connection"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:47 CET