LINUX.ORG.RU
решено ФорумAdmin

настройка роутинга

 , , , ,


1

1

Всем доброго дня!

Помогите решить возникший трабл, суть:

На машине поднят debian, он получает интернет по 3g модему мтс, дальше через свой единственный сетевой интерфейс eth0 роутит интернет в локальную сеть - ысе работает все хорошо.

Теперь сама проблема, при поднятии на debian- openvpn интернет на машинах в сети пропадает!

Как я думаю что-то нитак с iptables, подскажите в чем косяк, нужно сделать, а голова уже не варит что куда!

Заранее всем спасибо за совет!!!

default gateway не изменяется?

anonymous
()
Ответ на: комментарий от lammer777

С openvpn 

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.119.64.1     128.0.0.0       UG    0      0        0 tap0
0.0.0.0         10.64.64.64     0.0.0.0         UG    0      0        0 ppp0
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.96.0.0       0.0.0.0         255.224.0.0     U     0      0        0 tap0
128.0.0.0       10.119.64.1     128.0.0.0       UG    0      0        0 tap0
188.64.170.189  10.64.64.64     255.255.255.255 UGH   0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

без openvpn 

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.64.64.64     0.0.0.0         UG    0      0        0 ppp0
10.64.64.64     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

lammer777
() автор топика
Ответ на: комментарий от alozovskoy 
lsmod | grep nf
nf_conntrack_ipv4      12965  1 
nf_defrag_ipv4          1491  1 nf_conntrack_ipv4
nf_nat_ipv4             3630  1 iptable_nat
nf_nat                 15166  3 ipt_MASQUERADE,nf_nat_ipv4,iptable_nat
nf_conntrack           87622  5 ipt_MASQUERADE,nf_nat,nf_nat_ipv4,iptable_nat,nf_conntrack_ipv4

iptables-save 
# Generated by iptables-save v1.4.14 on Fri Jan 16 10:59:52 2015
*filter
:INPUT ACCEPT [19638:2884140]
:FORWARD ACCEPT [119722:52990701]
:OUTPUT ACCEPT [17616:1532232]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Jan 16 10:59:52 2015
# Generated by iptables-save v1.4.14 on Fri Jan 16 10:59:52 2015
*nat
:PREROUTING ACCEPT [1559:110836]
:INPUT ACCEPT [129:18510]
:OUTPUT ACCEPT [68:4903]
:POSTROUTING ACCEPT [483:32214]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT 
/etc/network/interfaces
auto lo

iface lo inet loopback
auto eth0
  iface eth0 inet static
    address 192.168.1.77
    netmask 255.255.255.0
allow-hotplug wlan0
iface wlan0 inet manual
wpa-roam /etc/wpa_supplicant/wpa_supplicant.conf
iface default inet dhcp
lammer777
() автор топика
Ответ на: комментарий от lammer777

с локальной машины при поднятом openvpn на шлюзе-debian

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  192.168.1.77 (192.168.1.77)  1.018 ms  1.126 ms  1.312 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
lammer777
() автор топика
Ответ на: комментарий от lammer777

Еще раз о главном, надо чтоб после того как debian подсосался к 3g, он впнил этот интернет и уже его раздавал в сеть всем компам.

lammer777
() автор топика
Ответ на: комментарий от lammer777

Есть мысль может поднять еще один eth1(только програмно-командой) и уже с него через eth0 раздавать интернет в сеть? тока не пойму пока как это воплотить в жизнь

lammer777
() автор топика

Вам OpenVPN сервер push'ит маршрут в 0.0.0.0/1 через 10.119.64.1, который, хоть и не default gateway, но все-равно отбирает на себя половину интернета (все IP адреса 0-127.x.x.x) из-за большей маски (/1 > /0). Необходимо избавиться от этого г$вна. Читайте в справке как OpenVPN клиент может игнорировать маршруты передаваемые сервером (route-nopull, или что-то такое), или удаляйте его правильно через route del с указанием netmask 128.0.0.0

rubic
()
Ответ на: комментарий от lammer777 
route del -net 10.119.64.1 netmask 128.0.0.0
route: netmask doesn't match route address
Usage: route [-nNvee] [-FC] [<AF>]           List kernel routing tables
       route [-v] [-FC] {add|del|flush} ...  Modify routing table for AF.

       route {-h|--help} [<AF>]              Detailed usage syntax for specified AF.
       route {-V|--version}                  Display version/author and exit.

        -v, --verbose            be verbose
        -n, --numeric            don't resolve names
        -e, --extend             display other/more information
        -F, --fib                display Forwarding Information Base (default)
        -C, --cache              display routing cache instead of FIB

  <AF>=Use '-A <af>' or '--<af>'; default: inet
  List of possible address families (which support routing):
    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25) 
    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP) 
    x25 (CCITT X.25)
lammer777
() автор топика
Ответ на: комментарий от lammer777

Если задача в том чтобы пользователи шли в интернет через VPN, то OpenVPN должен присылать вам default gateway (0.0.0.0/0), а не то, что он сейчас присылает (0.0.0.0/1). Это достигается настройкой OpenVPN сервера redirect-gateway. Чтобы этот маршрут перекрывал существующий default gateway (0.0.0.0 10.64.64.64 0.0.0.0 UG 0 0 0 ppp0) у последнего должна быть большая метрика (скажем 10, копайте настройки PPPoE или что там у вас)

rubic
()
Ответ на: комментарий от rubic

у меня на щлюзе подмается при запуске 3g от МТС, далее интернет нормально роутится в сеть Я же хочу чтоб после поднятия 3g, поднимался vpn от например hideme, и уже впнистый интернет роутился в сетку

Но не могу, при поднятии впн, интернет есть на шлюзе, но он не роутится в сеть.

lammer777
() автор топика
Ответ на: комментарий от lammer777

вроде заработало всем спасибо, трабл как и думаю был в iptables

lammer777
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin