Есть подключение к провайдеру через ADSL, модем в режиме роутера подключен к серверу FreeBSD. Фря пускает юзеров по VPN. Хочу настроить BSD в режиме роутера и завернуть весь трафик на виртуальную машину... PPPoE поднимаю, подключаю nat, инетрент у всех работает и по VPN и при прописывание шлюза на клиентских компах...Как сделать, что бы юзер мог ходить в инет только по VPN? ((

модем в режиме роутера »
Разреши в модеме выход только с одного адреса.

Модем ставлю бриджем, PPPoE поднимаю на FreeBSD... Я так понял нужно задействовать IPFW, но не очень разбираюсь в написании правил...(

Модем ставлю бриджем, PPPoE поднимаю на FreeBSD... »
???
У меня несколько лет работала связка модем-FreeBSD-локалка. Nat и остальное было в модеме. У FreeBSD 2 сетевые: одна в локалку, другая на модем.
нужно задействовать IPFW »
Озвучь имеющиеся интерфейсы у FreeBSD, тогда народ подскажет с правилами.
что бы юзер мог ходить в инет только по VPN »
Это что, для авторизации?

Да, на VPN уже режу скорость...
Поднимаю PPPoE на BSD так как процессор на модеме просто начинает виснуть при 10 и более клиентов...

rl1 - интерфейс который смотрит в интернет, ип - 192.168.10.1
192.168.10.10 - ип, на котором крутится VPN
rlo - интерфейс который смотрит в локалку, ип - 192.168.1.1

с ипа 192.168.10.1 перенаправить весь трафик на 192.168.10.10, все остальные пути прохождения трафика закрыть ....
как мне эту строчку оформить как правило?(((
перечитал кучу литературы, хендбуки и т д...не нашел(((

инетрент у всех работает и по VPN и при прописывание шлюза на клиентских компах »
Покажи результат <ipconfig /all> и <route print> у клиентов для этих двух случаев
с ипа 192.168.10.1 перенаправить весь трафик на 192.168.10.10, все остальные пути прохождения трафика закрыть »
Покажи с FreeBSD результат <ifconfig -a> и <ipfw list>, внешний ip замени на ххх.ххх.ххх.ххх

Покажи результат <ipconfig /all> »


Настройка протокола IP для Windows
Имя компьютера...................................: alden-451a5f931
Основной DNS-суффикс.......................:
Тип узла................................................: неизвестен
IP-маршрутизация включена..............: нет
WINS-прокси включен.........................: нет
Порядок просмотра суффиксов DNS...: local

Подключение по локальной сети - Ethernet адаптер:

DNS-суфикс этого подключения.......: local
Описание.............................................: Realtek RTL8139/810x Family Fast Ethernet NIC
Физический адрес...............................: 00-13-8f-30-35-fa
DHCP включен.....................................: да
Автонастройка включена...................: да
IP-адрес...............................................: 192.168.1.2
Маска подсети.....................................: 255.255.255.0
Основной шлюз....................................: 192.168.1.1
DHCP-сервер........................................: 192.168.1.1
DNS-серверы........................................: 8.8.8.8
Аренда получена.................................: 10 ноября 2010г. 11:19:57
Аренда истекает..................................: 10 ноября 2010г. 12:19:57

и <route print> »


Список интерфейсов
0x1 ................................. MS TCP Loopback interface
0x2 ................................. Realtek RTL8139 Family PCI Fast Ethernet NIC
==================================================================================
Активные маршруты:
Сетевой адрес ____Маска сети_______Адрес шлюза_____Интерфейс____Матрика
0.0.0.0___________0.0.0.0___________192.168.1.1______192.168.1.2____20
127.0.0.0_________255.0.0.0_________127.0.0.1________127.0.0.1______1
192.168.1.0_______255.255.255.0_____192.168.1.2______192.168.1.2____20
192.168.1.2_______255.255.255.255___127.0.0.1________127.0.0.1______20
192.168.1.255_____255.255.255.255___192.168.1.2______192.168.1.2____20
224.0.0.0_________240.0.0.0_________192.168.1.2______192.168.1.2____20
255.255.255.255___255.255.255.255___192.168.1.2______192.168.1.2____1
Основной шлюз:___192.168.1.1
==================================================================================
Постоянные маршруты:
Отсутствует


Покажи с FreeBSD результат <ifconfig -a> »

vpn# ifconfig -a
rl0: flags=8844<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
option=8<VLAN_MTU>
ether 00:c0:26:a8:f4:2e
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8844<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
option=8<VLAN_MTU>
ether 00:e0:1c:3c:3b:2b
inet 192.168.10.2 netmask 0xffffff00 broadcast 192.168.10.255
media: Ethernet autoselect (100baseTX <full duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80:: 1%lo0 prefixlen 64 scopied 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
inet 95.132.167.98 --> 195.5.5.184 netmask 0xffffffff
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIPLEX,MULTICAST> metric 0 mtu 1400
inet 192.168.10.10 --> 192.168.10.39 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMLEX,MULTICAST> metric 0 mtu 1400
inet 192.168.10.10 --> 192.168.10.208 netmask 0xffffffff
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMLEX,MULTICAST> metric 0 mtu 1400
inet 192.168.10.10 --> 192.168.10.93 netmask 0xffffffff

и <ipfw list> »

vpn# ipfw list
00005 allow ip from 192.168.10.0/24 to any via rl1
00006 allow ip from 192.168.10.0/24 to 192.168.10.2
00010 deny ip from 192.168.0.0/16 to any via rl1
00020 deny ip from 172.16.0.0/12 to any via rl1
00030 deny ip from 192.168.0.0/16 to 192.168.10.2
00040 deny ip from 172.16.0.0/12 to 192.168.10.2
30000 pipe 30000 ip from any to any in via ng0
30001 pipe 30001 ip from any to any in via ng1
30002 pipe 30002 ip from any to any in via ng2
30003 pipe 30003 ip from any to any in via ng3
31000 pipe 31000 ip from any to any out via ng0
31001 pipe 31001 ip from any to any out via ng1
31002 pipe 31002 ip from any to any out via ng2
31003 pipe 31003 ip from any to any out via ng3
65535 allow ip from any to any

Попробуй добавить

allow ip from 192.168.1.0/24 to 192.168.0.0/16
deny ip from 192.168.1.0/24 to any via rl0

Покажи результат <ipconfig /all> и <route print> у клиентов для этих двух случаев »
Интересен как раз случай с активированным ВПН.

Не совсем понятна привязка rl1 к 192.168.10.0/24: в эту же сетку попадают адреса ВПН.

Покажи результат <ipconfig /all> »


alden - PPP адаптер:

DNS - суфикс этого подключения .......:
Описание..............................................: WAN <PPP/SLIP> Interface
Физический адрес................................: 00-53-45-00-00-00
Dhcp включен.......................................: нет
IP-адрес................................................: 192.168.10.4
Маска подсети......................................: 255.255.255.255
Основной шлюз....................................: 192.168.10.4
DNS-серверы........................................: 8.8.8.8

и <route print> »

Активные маршруты:
Сетевой адрес ____Маска сети_______Адрес шлюза_____Интерфейс______Матрика
0.0.0.0___________0.0.0.0___________192.168.1.1______192.168.1.2_____21
0.0.0.0___________0.0.0.0___________192.168.10.4_____192.168.10.4____1
127.0.0.0_________255.0.0.0_________127.0.0.1________127.0.0.1_______1
192.168.1.0_______255.255.255.0_____192.168.1.2______192.168.1.2_____20
192.168.1.1_______255.255.255.255___192.168.1.2______192.168.1.2_____20
192.168.1.2_______255.255.255.255___127.0.0.1________127.0.0.1_______20
192.168.1.255_____255.255.255.255___192.168.1.2______192.168.1.2_____20
192.168.10.4______255.255.255.255___127.0.0.1________127.0.0.1_______50
192.168.10.255____255.255.255.255___192.168.10.4_____192.168.10.4____50
224.0.0.0_________240.0.0.0_________192.168.1.2______192.168.1.2_____20
224.0.0.0_________240.0.0.0_________192.168.10.4_____192.168.10.4____1
255.255.255.255___255.255.255.255___192.168.1.2______192.168.1.2_____1
255.255.255.255___255.255.255.255___192.168.10.4______192.168.10.4___1
Основной шлюз:___192.168.10.4
==================================================================================
Постоянные маршруты:
Отсутствует

Попробуй добавить
allow ip from 192.168.1.0/24 to 192.168.0.0/16
deny ip from 192.168.1.0/24 to any via rl0 »

/etc/rc.conf
firewall_enable="YES"
firevall_script="/usr/local/etc/ipfw.rulles"

В файле ipfw.rulles уже вбиваю правила.
Всё правильно, или что то нужно добавить?

8.8.8.8 »
Надеюсь, это написано для примера...
Всё правильно, или что то нужно добавить? »
Проверь сначала в этом виде. Где-нибудь до 30000...

<ipfw show> покажет статистику срабатывания правил.

Всё по прежнему, вбиваю шлюз на клиентах и инет пропускает(((

ipfw show

00005____0______0________allow ip from 192.168.10.0 to any via rl1
00006____0______0________allow ip from 192.168.10.0/24 to 192.168.10.2
00010____9______476______deny ip from 192.168.0.0/16 to any via rl1
00020____0______0________deny ip from 172.16.0.0/12 to any via rl1
00030____0______0________deny ip from 192.168.0.0/16 to 192.168.10.2
00040____0______0________deny ip from 172.16.0.0/12 to 192.168.10.2
30000____881____132000___pipe 30000 ip from any to any in via ng0
30002____781____131499___pipe 30002 ip from any to any in via ng2
30003____197____35265____pipe 30003 ip from any to any in via ng3
31000____1134___1260469__pipe 31000 ip from any to any out via ng0
31002____1088___1070520__pipe 31002 ip from any to any out via ng2
31003____172____113579___pipe 31003 ip from any to any out via ng3
65535____213995_92964958_allow ip from any to any

deny ip from 192.168.1.0/24 to any via rl0

можно вообще попробовать убрать интерфейс: via rl0

Большое вам спасибо, всё заработало как часики))
В скором времени буду переходить к другому провайдеру и подключатся через VPN. Не подскажите, как в этом случаи реализовать подключение на FreeBSD? Так же, через ppp.conf и фаерволл не изменять?

Не подскажу... - не работал с VPN на FreeBSD, вся обработка канала на провайдера в железе и, к тому же, не у меня на обслуживании.