+----------------+          +---------------+                +----------------+
|                |  a.b.c.d |    OpenBSD    | 192.168.0.254  |  Private LAN   |
| Internet (ISP) +----------+               +----------------+                |
|                |          | Router/Server |                | 192.168.0.0/24 |
+----------------+          +---------------+                +----------------+
 a.b.c.d        - Некоторый адрес, выдаваемый провайдером динамически.
 192.168.0.0/24 - Внутренняя подсеть.
 192.168.0.254  - Внутренний адрес маршрутизатора.


Конфигурация шлюза и подключенных (обслуживаемых) сетей:


#cat /etc/ppp/ppp.conf
#############################################################
# PPPoE Internet :-)
#############################################################

default:
	Set log Phase Chat LCP IPCP CCP tun command
	Disable ipv6cp

pppoe:
# Использовать утилиту pppoe(8)
	set device "!/usr/sbin/pppoe -i rl0"
# Настройка MTU & MRU параметров создаваемого интерфейса
	set mtu max 1492
	set mru max 1492
# Указываем, что устройство работает в синхронном режиме
        set speed sync
# Отключение сжатия заголовков
        disable acfcomp protocomp
        deny acfcomp
# Запрашивать адреса DNS-серверов
        enable dns
# Логин/пароль для аутентификации
        set authname user_login
        set authkey secret_pass
# Добавлять маршрут по-умолчанию через провайдера
        add! default HISADDR


Устанавливаем права доступа (рекомендуется). После этого только владелец ppp.conf (т. е. root) сможет его читать. А, если вы не забыли, там лежит пароль от PPPoE.

Листинг 1.1.2. Установка прав доступа


# chmod 600 /etc/ppp/ppp.conf


Теперь проверяем соединение.

Листинг 1.1.3. Установка соединения


# ppp -ddial pppoe Working in ddial mode Using interface: tun0


Если соединение работает нормально, можно настроить автоматическое включение при запуске. Для отключения соединения, необходимо послать управляющему демону сигнал HUP.

Листинг 1.1.4. Автоматическое поднятие интерфейса


# cat /etc/hostname.tun0 !/usr/sbin/ppp -ddial pppoe


На этом можно было бы и закончить, но не могу не упомянуть о включении встроенного NAT в ppp(8). Для этого требуется передать всего один ключ "-nat", т.е. файл для автоматического поднятия PPPoE соединения будет выглядеть следующим образом.

Листинг 1.1.4. Автоматическое поднятие интерфейса с поддержкой NAT


# cat /etc/hostname.tun0 !/usr/sbin/ppp -nat -ddial pppoe


1.2. Использование интерфейса pppoe(4)

Теперь рассмотрим другой, не совместимый с предыдущим, вариант установления соединения. Интерфейс pppoe(4) по-умолчанию поддерживается ядром, для его создания используем файл следующего содержания.

Листинг 1.2.1. Создание pppoe(4) интерфейса


# cat /etc/hostname.pppoe0 inet 0.0.0.0 255.255.255.255 NONE pppoedev rl0\ authproto chap authname user_login authkey secret_pass up dest 0.0.0.1 !/sbin/route add default 0.0.0.1


Устанавливаем права на созданный конфигурационный файл интерфейса (опять же, рекомендуется, потому что в нем лежат логин и пароль от PPPoE).

Листинг 1.2.2. Установка прав доступа


# chmod 600 /etc/hostname.pppoe0


И включаем новый интерфейс.

Листинг 1.2.3. Ручное включение pppoe(4) интерфейса


# sh /etc/netstart pppoe0 add net default: gateway 0.0.0.1


Заметьте, что в данном случае маршрутизатор по умолчанию прописан в hostname.pppoe0 (строчка #3).

Если вы используете данный тип соединения, то для разрешения имен со шлюза (и только с него) вам потребуется вручную настроить resolv.conf(5). Потребуется указать адрес DNS-сервера, например можно указать сервера провайдера, или локального DNS-сервера.
В листинге 1.2.4 приведен пример настройки resolv.conf(5), где w.x.y.z и a.b.c.d - IP-адреса DNS-серверов провайдера.

Листинг 1.2.4. Пример resolv.conf(5)


# cat /etc/resolv.conf # DNS servers list nameserver w.x.y.z nameserver a.b.c.d


Если вы используете (планируете использовать) сервер имен, запущенный на шлюзе (на том же самом узле) и никаких хитрых настроек производить не собираетесь, то файл /etc/resolv.conf можно оставить пустым - по умолчанию, если не указан ни один DNS-сервер, обращение идет к серверу по адресу 127.0.0.1.

2. Включение маршрутизации

Это самый простой этап. Для того, что бы просто включить маршрутизацию IP-пакетов, выполняется следующая команда[1].

Листинг 2.1. Включение маршрутизации


# sysctl net.inet.ip.forwarding=1 net.inet.ip.forwarding: 0 -> 1


Чтобы маршрутизация включалась при запуске системы, правим sysctl.conf - добавляем или раскомментируем строку "net.inet.ip.forwarding=1"[1].

Листинг 2.1. Включение маршрутизации при запуске.


# vi /etc/sysctl.conf net.inet.ip.forwarding=1


3. Трансляция адресов (NAT) с помощью pf(4)

Если вы выбрали вариант со связкой ppp(8) & pppoe(8) и включили NAT в ppp(8) (см. раздел 1.1.1), то данный раздел можно пропустить или просто ознакомиться для общего развития. Использование pf(4) для трансляции адресов имеет ряд преимуществ и, как минимум, один недостаток. Этот недостаток заключается в увеличении общей сложности, т.е. использовании все больших элементов для достижения цели. Положительный момент тоже один, но за то какой: возможность гармонично использовать всю мощь межсетевого экрана (МСЭ) pf(4). Это и навороченная фильтрация, и т.н. проброс портов, и шейпинг - перечислять можно еще пару абзацев. Таким образом, если нужна только трансляция адресов и выбран вариант с ppp(8), то от использования pf(4) можно отказаться, но если требуются еще какой-то функционал МСЭ, а тем более если используется интерфейс pppoe(4), то pf(4) - это то что вам нужно.
Хороший краткий обзор дан в [5], в этой же статье приведены ссылки на дополнительные материалы для изучения, здесь приведу только простой конфигурационный файл и команды для запуска. Конфигурация pf(4) находится в /etc/pf.conf (pf.conf(5)). Для управления используется утилита pfctl(8).

Листинг 3.1. pf.conf(5) с поддержкой NAT


# cat /etc/pf.conf ############################################################ # Simple pf configuration ############################################################ # # Macroses # # External interface if_ext="pppoe0" # Internal interface if_int="rl1" # # Options # # Soft packet reject set block-policy return # Don't filter loopback traffic set skip on lo # # Translations # # Translate network addresses on external interface nat on $if_ext from !($if_ext) -> ($if_ext) # # Filtering # # Default - block all block all # Allow outgoing traffic pass out keep state # Allow all local traffic pass quick on $if_int


Данный вариант не лишен многих недостатков, но он работает имеет некоторые настройки безопасности и достаточно краток. Теперь конфигурацию необходимо применить.

Листинг 3.2. Применения конфигурации


# pfctl -f /etc/pf.conf


После проведения данных манипуляций можно проверить работоспособность конфигурации, запустив ping(8) на одном из узлов внутренней сети до узла из внешней сети. Лучше всего проверить доступность DNS-серверов провайдера, используя в качестве адреса назначения IP-адрес DNS-сервера. Во-первых, проверятся работоспособность маршрутизации, соединения, NAT, а во-вторых, использование IP-адреса снимает необходимость в DNS-сервере для разрешения имен, о чем в следующем разделе. Если тестирование прошло нормально, можно проверить применение настроек при запуске системы.

Листинг 3.3. Проверка применение настроек pf.conf(5) при запуске системы


# cat /etc/rc.conf | grep "pf" pf=YES # Packet filter / NAT pf_rules=/etc/pf.conf # Packet filter rules file


У вас может быть еще куча разных строк, но наличие этих двух свидетельствует о том, что настройки будут применяться после каждого запуска системы. Если вы не обнаружили этих строк, то необходимо прописать их в /etc/rc.conf.local (перед этим стоит почитать rc.conf(5)).

Листинг 3.4. Включение автоматического запуска pf(4)


# echo pf=YES >> /etc/rc.conf.local # echo pf_rules=/etc/pf.conf >> /etc/rc.conf.local


4. Поддержка DNS

Почему важна корректная настройка DNS-серверов можно посмотреть в [4] и [6], только не пытайтесь сразу применять советы из статьи. Итак, как сказано в [4], в поставку OpenBSD начиная в версии 4.0 уже включен настроенный DNS-сервер, все что требуется - это включить его.

Листинг 4.1. Включение DNS-сервера


# named


Теперь можно проверить доступность и работоспособность DNS-сервера на одном из узлов внутренней сети, например с помощью nslookup(1). В случае, если все работает корректно, необходимо включить автоматический запуск.

Листинг 4.2. Автоматический запуск DNS-сервера


# echo named_flags="" >> /etc/rc.conf.local


Существует еще один способ настройки службы DNS - на каждом узле во внутренней сети указать адреса DNS-серверов провайдера и не использовать отдельный сервер на шлюзе, но такая настройка таит множество подводных камней, и необходимо точно знать, что вы делаете и зачем.

Небольшое лирическое отступление: в стандартной настройке DNS-сервер для разрешения неизвестных имен будет использовать корневые DNS-сервера, а это значит, что вы не привязываетесь к серверам провайдера со всеми вытекающими последствиями: