Mechanic Posted December 10, 2018 · Report post для сорм нужно зеркалировать радиус трафик, радиус с nas на одной машине пробую сделать ipfw tee 1234 udp from any to any 1812,1813 via lo0 потом смотрю tcpdump -i lo0 port 1234 там пусто что не так ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 10, 2018 · Report post то что они на одной машине не говорит ничего о том что они через lo0 бегают tcpdump сначала на lo0 радиус смотрите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted December 10, 2018 · Report post В PF dup вроде правила называются, у меня работало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post 10 часов назад, paradox_ сказал: то что они на одной машине не говорит ничего о том что они через lo0 бегают tcpdump сначала на lo0 радиус смотрите есть, на lo0 tcpdump вижу трафик, а tee не срабатывает ?! tcpdump -i lo0 -n dst port 1812 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 65535 bytes capability mode sandbox enabled 10:39:53.199792 IP 127.0.0.1.27763 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0xca length: 298 10:40:00.986692 IP 127.0.0.1.27768 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x99 length: 301 10:40:08.538783 IP 127.0.0.1.27772 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x97 length: 302 10:40:08.858557 IP 127.0.0.1.27773 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x0f length: 300 9 часов назад, Ivan_83 сказал: В PF dup вроде правила называются, у меня работало. ipfw стоит, всего одно правило добавляю, в инете такие решения видел, только не понятно почему у меня не отрабатывает ipfw sh 5 ipfw: DEPRECATED: 'sh' matched 'show' as a sub-string 00005 4 1310 tee 1234 udp from any to any dst-port 1812 via lo0 tcpdump -i lo0 -n port 1234 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 65535 bytes capability mode sandbox enabled ^C 0 packets captured 24 packets received by filter 0 packets dropped by kernel Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 11, 2018 (edited) · Report post вспомнил оно в диверт сокет пишет так что просто tee не отправить https://ru-root.livejournal.com/2875833.html как вариант Edited December 11, 2018 by paradox_ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted December 11, 2018 · Report post pass in quick on ng0 dup-to (vlan777 172.16.0.3) to 255.255.255.255 pass in quick on vlan777 dup-to (ng0 172.16.0.119) to 255.255.255.255 Я вот так вот когда то "проксировал" броадкасты от впн юзера чтобы игрушка работала. Ещё можно матчить ng_bpf прицепленом к ng_ether, потом ng_one2many и ng_patch менять адрес, но это не так тривиально как PF. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post 1 час назад, paradox_ сказал: вспомнил оно в диверт сокет пишет так что просто tee не отправить https://ru-root.livejournal.com/2875833.html как вариант это я читал, не хочется с ng нодами заморачиваться, но похоже придется Цитата tee port Send a copy of packets matching this rule to the divert(4) socket bound to port port. The search continues with the next rule. те divert(4) socket на определенном порту, так ?! а вообще у radius есть модуль rlm_replicate который копирует пакеты ААА на удаленный хост, но примеров реализации не нашел Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 11, 2018 (edited) · Report post ipfw tee 1234 udp from any to any 1812 via lo0 ipfw tee 1235 udp from any to any 1813 via lo0 /sbin/natd -p 1234 -s -redirect_port udp 1.2.3.4:1812 1812 /sbin/natd -p 1235 -s -redirect_port udp 1.2.3.4:1813 1813 или с одним правилом но с redirect_address поиграться была помоему такая опция в natd Edited December 11, 2018 by paradox_ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post 1 час назад, paradox_ сказал: ipfw tee 1234 udp from any to any 1812 via lo0 ipfw tee 1235 udp from any to any 1813 via lo0 /sbin/natd -p 1234 -s -redirect_port udp 1.2.3.4:1812 1812 /sbin/natd -p 1235 -s -redirect_port udp 1.2.3.4:1813 1813 или с одним правилом но с redirect_address поиграться была помоему такая опция в natd natd -p 1234 -a 1.1.1.1 -s -redirect_port udp 1.1.1.2:1812 1812 приводит к заворачиванию этих пакетов на локалхост и дублированию tcpdump -i lo0 -n dst port 1812 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo0, link-type NULL (BSD loopback), capture size 65535 bytes capability mode sandbox enabled 14:41:54.537007 IP 127.0.0.1.39906 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x2d length: 304 14:41:54.537037 IP 1.1.1.1.39906 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x2d length: 304 14:42:01.445812 IP 127.0.0.1.39913 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x43 length: 303 14:42:01.445841 IP 1.1.1.1.39913 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0x43 length: 303 14:42:01.695776 IP 127.0.0.1.39914 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0xb5 length: 300 14:42:01.695805 IP 1.1.1.1.39914 > 127.0.0.1.1812: RADIUS, Access Request (1), id: 0xb5 length: 300 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 11, 2018 · Report post цитировать то меня зачем я ж не трамп опцию для natd -n имя интерфейса добавите что бы он туда трафик заворачивал вы как будто вчера админом стали, я ж надеюсь давая подсказки что вы остальное додумаете Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post natd - лет ... дцать не использовал, реальные ипы были, да и до этого натили другими средствами :) тоже самое, заворачивает не подменяет адрес назначения на 1.6.8.254 natd -p 1234 -v -s -redirect_port udp 1.6.8.254:1812 1812 -n vlan77 natd[92787]: Aliasing to 1.6.8.251, mtu 1500 bytes Out {default}[UDP] [UDP] 127.0.0.1:40827 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:40827 -> 127.0.0.1:1812 In {default}[UDP] [UDP] 127.0.0.1:40827 -> 127.0.0.1:1812 aliased to [UDP] 127.0.0.1:40827 -> 127.0.0.1:1812 In {default}[UDP] [UDP] 1.6.8.251:40827 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:40827 -> 127.0.0.1:1812 Out {default}[UDP] [UDP] 127.0.0.1:40834 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:40834 -> 127.0.0.1:1812 In {default}[UDP] [UDP] 127.0.0.1:40834 -> 127.0.0.1:1812 aliased to [UDP] 127.0.0.1:40834 -> 127.0.0.1:1812 In {default}[UDP] [UDP] 1.6.8.251:40834 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:40834 -> 127.0.0.1:1812 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 11, 2018 (edited) · Report post попробуйте redirect_address или -t | -target_address address man natd Edited December 11, 2018 by paradox_ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post 1 час назад, paradox_ сказал: попробуйте redirect_address или -t | -target_address address man natd redirect_address не подходит по принципу работы, это же весь трафик пересылается Цитата -redirect_address localIP publicIP Перенаправить трафик с публичного (реального) IP-адреса на хост с частным IP-адресом в локальной сети. Эта функция известна как статический NAT. с -t получилось по пакетам, вижу правильные пакеты, но до удаленного хоста они не доодят, там их нет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 11, 2018 · Report post ну правильно, по идеи redirect_address можно будет забрать сразу все с tee сокета в одном правиле и перебить айпи тсп дамп на исходящем интерфейсе надо смотреть что там не так с уходящими пакетами а то может они уже фаером мочатся Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post natd -p 1234 -s -redirect_address 1.6.8.251 1.6.8.254 -n vlan77 -v -t 1.6.8.254 natd[93375]: Aliasing to 1.6.8.251, mtu 1500 bytes Out {default}[UDP] [UDP] 127.0.0.1:46466 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:46466 -> 127.0.0.1:1812 In {default}[UDP] [UDP] 127.0.0.1:46466 -> 127.0.0.1:1812 aliased to [UDP] 127.0.0.1:46466 -> 1.6.8.254:1812 In {default}[UDP] [UDP] 1.6.8.251:46466 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:46466 -> 1.6.8.254:1812 Out {default}[UDP] [UDP] 127.0.0.1:46467 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:46467 -> 127.0.0.1:1812 In {default}[UDP] [UDP] 127.0.0.1:46467 -> 127.0.0.1:1812 aliased to [UDP] 127.0.0.1:46467 -> 1.6.8.254:1812 In {default}[UDP] [UDP] 178.16.88.251:46467 -> 127.0.0.1:1812 aliased to [UDP] 1.6.8.251:46467 -> 1.6.8.254:1812 пакеты формируются аналогично, только после natd они не попадают в ipfw ipfw show 6 00006 0 0 allow udp from 1.6.8.251 to 1.6.8.254 dst-port 1812 via vlan77 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 11, 2018 · Report post ну судя по логу уже айпи переписывается, что не так ? вы ipfw целиком показывайте а не кусками насколько я помню после диверта или тии правила начинают свою цепочку сначала ну так в tcpdump видно что с интерфейса уходят ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 11, 2018 · Report post 4 часа назад, paradox_ сказал: ну судя по логу уже айпи переписывается, что не так ? лог natd правильный, только на выходе интерфейса vlan77 пусто начало правил выложил полностью вначале tee, затем разрешаю выход из интерфейса vlan77 ipfw sh 5 00005 102 33616 tee 1234 udp from any to any dst-port 1812 via lo0 00006 0 0 allow ip from 1.6.8.251 to 1.6.8.254 dst-port 1812 via vlan77 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sacrament Posted December 12, 2018 · Report post Может проще это на коммутаторе сделать, в который нас включен? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 12, 2018 · Report post 4 часа назад, Sacrament сказал: Может проще это на коммутаторе сделать, в который нас включен? nas и radius на одной машине, запросы не выходят за интерфейс :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted December 12, 2018 · Report post Был какой-то репитер для UDP-трафика, его еще NetUP рекомендовал для дублирования трафика с сенсоров. И не надо мучать фаервол. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DDR Posted December 12, 2018 · Report post В 11.12.2018 в 17:54, Mechanic сказал: natd -p 1234 -a 1.1.1.1 -s -redirect_port udp 1.1.1.2:1812 1812 приводит к заворачиванию этих пакетов на локалхост и дублированию Попробуйте добавить после tee ipfw add fwd 1.6.8.254 ip from any to any diverted Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mechanic Posted December 12, 2018 · Report post так 1.6.8.254 -это удаленная машина, а fwd работает в пределах локальной ?! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DDR Posted December 13, 2018 · Report post 17 часов назад, Mechanic сказал: так 1.6.8.254 -это удаленная машина, а fwd работает в пределах локальной ?! If ipaddr is not a local address, then the port number (if speci- fied) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted December 13, 2018 · Report post 8 часов назад, DDR сказал: If ipaddr is not a local address, then the port number (if speci- fied) is ignored, and the packet will be forwarded to the remote address, using the route as found in the local routing table for that IP. При этом IP пакет не меняется.. т.е DST IP остается старый.. это для разруливания маршрутизации, аля соурс базед рутинг подходит.. т.е. там, куда оно сфорвардимлось должны знать, что делать с пакетом, а не запулить его обратно по таблице маршгрутизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
paradox_ Posted December 13, 2018 · Report post там все должно работать на tee + natd просто автор разробраться в тонкостях не хочет не работать оно не может а иначе бы нат на divert+natd не работал в бсд Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...