Work at SourceForge, help us to make it a better place! We have an immediate need for a Support Technician in our San Francisco or Denver office.

Close

FreeBSD 9 + MPD + pf corrupts routing table

Help
Alexey
2012-05-27
2013-03-27
  • Alexey
    Alexey
    2012-05-27

    Исходная ситуация:
    у провайдера есть пул впн-серверов, mpd соединяется с впн-сервером по L2TP, через стартовый скрипт прописывает маршрут до этого впн-сервера через локальный шлюз, меняет адрес шлюза на адрес впн-сервера, интернет работает.
    Проблема:
    В произвольный момент времени (от 5 минут до 3 суток) в маршруте до впн-сервера адрес локального шлюза подменяется произвольным IP-адресом, соответственно соединение падает. Такое происходит только в связке pf-mpd на фре 9.0, есть тема с подробным описанием проблемы здесь: http://forum.lissyara.su/viewtopic.php?f=4&t=34620

     
  • А какой смысл использования pf? Какие преимущества перед ipfw в данном случае?

     
  • Alexey
    Alexey
    2012-05-28

    Я признаю такой метод как "убедить пользователя, что ему это не надо". Просто лично я использую pf уже давно, в свое время решающим фактором стал ядерный нат. Не хотелось бы чтоб одна машина была белой вороной, к тому же придется постигать как с ipfw реализовать то, что в pf достигалось с помощью якорей, synproxy, route-to, reply-to. Я увидел ошибку, убедился что не я один столкнулся с этим багом, написал разработчику, ибо не программист и не могу определить где есть баг: в mpd или в pf. В чем я не прав?

     
  • Чем не устраивает ng_nat, который использует mpd ? Тут же отпадает проблема использования внешних скриптов и т.п. Кроме того, штатными средствами mpd осуществляется проброс портов и т.п.

     
  • Alexey
    Alexey
    2012-05-28

    Проблема не в NAT, а в невозможности одновременного использования mpd и pf. Это баг, я хочу чтобы его исправили, если проблема не в мпд, а в бсд - я буду писать разработчикам бсд, просто хотел сначала услышать ответ здесь.

     
  • Проблема не в mpd. У меня лично mpd в качестве pptp клиента с ng_nat и пробросом портов во внутреннюю сеть работал пару лет без нареканий.
    Проблема не в BSD, а в pf. Но его сейчас, по слухам, активно дорабатывают. Если нужна более подробная информация по этому поводу - напиши.

     
  • Alexey
    Alexey
    2012-05-28

    Связкой mpd+pf пользуюсь уже давно, лет пять так точно, проблемы появились только в последней инсталляции, т.е. FreeBSD 9.0 x64 + MPD 5.6. То что pf в девятке кривой я уже понял, столкнулся с другим его багом, просто если вместо mpd цепляться к прову другим клиентом - порчи маршрутов не происходит, значит проблема где-то во взаимодействии mpd и pf, мне, как не программисту, трудно понять где именно. Но, видимо, придется потерпеть до 9.1

     
  • Сможешь включить самый детальный лог mpd и "выкусить" ту его часть, где происходит порча маршрута?
    Иначе мы гадаем на кофейной гуще.