Настройка маршрутизации dd-wrt для l2tp Билайн

0

1

Друзья, с новым годом, крещением, всем добра.

Помогите, пожалуйста настроить маршрутизацию.
Роутер: NetGear WNDR-4300
Прошивка: r23720 от 03-13-2014 ftp://ftp.dd-wrt.com/betas/2014/03-13-2014-r23720/

На маршрутизаторе поднят роутинг:

Destination 	Subnet Mask 	Gateway 	Flags 	Metric 	Interface
NET
0.0.0.0		0.0.0.0		37.144.187.12	UG	0	ppp0
10.0.0.0	255.0.0.0	10.243.112.1	UG	0	WAN
10.243.112.0	255.255.248.0	0.0.0.0		U	0	WAN
37.144.187.12	255.255.255.255	0.0.0.0		UH	0	ppp0
78.107.23.0	255.255.255.0	10.243.112.1	UG	0	WAN
78.107.51.0	255.255.255.240	10.243.112.1	UG	0	WAN
78.107.52.0	255.255.255.192	10.243.112.1	UG	0	WAN
78.107.196.0	255.255.252.0	10.243.112.1	UG	0	WAN
78.107.235.4	255.255.255.252	10.243.112.1	UG	0	WAN
83.102.146.96	255.255.255.224	10.243.112.1	UG	0	WAN
83.102.231.32	255.255.255.240	10.243.112.1	UG	0	WAN
85.21.0.76	255.255.255.255	10.243.112.1	UGH	0	WAN
85.21.72.80	255.255.255.240	10.243.112.1	UG	0	WAN
85.21.78.93	255.255.255.255	10.243.112.1	UGH	0	WAN
85.21.79.0	255.255.255.0	10.243.112.1	UG	0	WAN
85.21.88.130	55.255.255.255	10.243.112.1	UGH	0	WAN
85.21.90.0	255.255.255.0	10.243.112.1	UG	0	WAN
85.21.108.16	255.255.255.240	10.243.112.1	UG	0	WAN
85.21.138.208	255.255.255.240	10.243.112.1	UG	0	WAN
85.21.192.3	255.255.255.255	10.243.112.1	UGH	0	WAN
169.254.0.0	255.255.0.0	0.0.0.0		U	0	LAN & WLAN
192.168.1.0	255.255.255.0	0.0.0.0		U	0	LAN & WLAN
194.67.1.115	255.255.255.255	10.243.112.1	UGH	0	WAN
195.14.50.0	255.255.255.224	10.243.112.1	UG	0	WAN
213.234.192.8	255.255.255.255	10.243.112.1	UGH	0	WAN
217.118.84.213	255.255.255.255	10.243.112.1	UGH	0	WAN
217.118.84.249	255.255.255.255	10.243.112.1	UGH	0	WAN
233.33.210.0	255.255.255.0	10.243.113.185	UG	0	WAN

Из консоли маршрутизатора я пингую и форум и личный кабинет

root@DD-WRT:~# ping homenet.beeline.ru -c 1
PING homenet.beeline.ru (78.107.197.40): 56 data bytes
64 bytes from 78.107.197.40: seq=0 ttl=57 time=1.624 ms
 
root@DD-WRT:~# ping lk.beeline.ru -c 1
PING lk.beeline.ru (85.21.78.93): 56 data bytes
64 bytes from 85.21.78.93: seq=0 ttl=57 time=2.007 ms

А из локальной сети 192.168.1.0 эти ресурсы не доступны

13:24@axa:~$ ping lk.beeline.ru -c 1
PING lk.beeline.ru (85.21.78.93) 56(84) bytes of data.
 
--- lk.beeline.ru ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Какие маршруты нужно прописать для доступа из внутренней сети к форуму (78.107.197.40) и личному кабинету (85.21.78.93)?

Ссылка

←	Shellslowpok

Кто-то лезет в роутер

→

NAT настройте не только на ppp0, но и на подлежащем WAN интерфейсе.

rubic ★
(18.01.15 17:35:14 MSK)

Ответ на: комментарий от rubic 18.01.15 17:35:14 MSK

8-)
Это то самое неловкое чувство, когда спрашивать уже неудобно.

rubic, спасибо за ответ, но если не трудно, чуть поподробнее, Я не очень классный спрециалист в сетях.

Axa
(18.01.15 19:44:45 MSK) автор топика

Ответ на: комментарий от Axa 18.01.15 19:44:45 MSK

Билайн дает вам доступ как в интернет (через ppp0) так и в свою внутреннюю сеть (lk.beeline.ru, homenet.beeline.ru - через WAN). SNAT должен быть настроен на обоих этих интерфейсах. Поищите в настройках, у меня нету dd-wrt, просто если с роутера пинг идет, то проблема явно не в маршрутах.

rubic ★
(18.01.15 19:54:09 MSK)

Ссылка

Ответ на: комментарий от Axa 18.01.15 19:44:45 MSK

iptables -t nat -A POSTROUTING -o WAN -j MASQUERADE

Это, конечно, до перезагрузки роутера. Как там в интерфейсе это делается не подскажу.

P.S. А что это за срач в роутинге? Это внутренние ресурсы билайна что ли?

dmiceman ★★★★★
(18.01.15 19:56:41 MSK)

Ответ на: комментарий от dmiceman 18.01.15 19:56:41 MSK

rubic В интерфейсе вроде бы такого нет. Но, в любом случае, интерфейс достаточно емкий, а я начинающий юзер, буду изучать. dmiceman Судя по всему это внутренние ресурсы Билайна. В виндах почти такой же список.

Касательно трансляции - помогло. Спасибо.
У меня 9 интерфейсов

ath0      Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AD  
          inet6 addr: fe80::2ac6:8eff:fe9a:d5ad/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                  .....

ath1      Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AE  
          inet6 addr: fe80::2ac6:8eff:fe9a:d5ae/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                  .....

br0       Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AC  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2ac6:8eff:fe9a:d5ac/64 Scope:Link
                  .....

br0:0     Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AC  
          inet addr:169.254.255.1  Bcast:169.254.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0      Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AC  
          inet6 addr: fe80::2ac6:8eff:fe9a:d5ac/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                  .....

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
                  .....

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:37.144.187.12  P-t-P:37.144.128.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING MULTICAST  MTU:1400  Metric:1
                  .....

vlan1     Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AC  
          inet6 addr: fe80::2ac6:8eff:fe9a:d5ac/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                  .....

vlan2     Link encap:Ethernet  HWaddr 28:C6:8E:9A:D5:AC  
          inet addr:10.243.113.185  Bcast:10.243.119.255  Mask:255.255.248.0
          inet6 addr: fe80::2ac6:8eff:fe9a:d5ac/64 Scope:Link
                  .....

Я последовательно применил команду по очереди к ppp0, vlan1 и vlan2. Заработало с последней команды.

iptables -t nat -A POSTROUTING -o vlan2 -j MASQUERADE

Я маршрутизатор еще не перегружал, поэтому не знаю, нужны ли первые две команды?
Если не трудно, укажите мне строки в iptables, которые отвечают за трансляцию внутренней сети Билайна в мою локальную сеть.

root@DD-WRT:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp dpt:webcache 
DROP       tcp  --  anywhere             anywhere            tcp dpt:www 
DROP       tcp  --  anywhere             anywhere            tcp dpt:https 
DROP       tcp  --  anywhere             anywhere            tcp dpt:69 
DROP       tcp  --  anywhere             anywhere            tcp dpt:ssh 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU 
lan2wan    0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             192.168.1.66        tcp dpt:51413 
ACCEPT     udp  --  anywhere             192.168.1.66        udp dpt:51413 
TRIGGER    0    --  anywhere             anywhere            TRIGGER type:in match:0 relate:0 
trigger_out  0    --  anywhere             anywhere            
ACCEPT     0    --  anywhere             anywhere            state NEW 
ACCEPT     0    --  10.0.0.0/8           anywhere            
ACCEPT     0    --  anywhere             10.0.0.0/8          

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain advgrp_1 (0 references)
target     prot opt source               destination         

Chain advgrp_10 (0 references)
target     prot opt source               destination         

Chain advgrp_2 (0 references)
target     prot opt source               destination         

Chain advgrp_3 (0 references)
target     prot opt source               destination         

Chain advgrp_4 (0 references)
target     prot opt source               destination         

Chain advgrp_5 (0 references)
target     prot opt source               destination         

Chain advgrp_6 (0 references)
target     prot opt source               destination         

Chain advgrp_7 (0 references)
target     prot opt source               destination         

Chain advgrp_8 (0 references)
target     prot opt source               destination         

Chain advgrp_9 (0 references)
target     prot opt source               destination         

Chain grp_1 (0 references)
target     prot opt source               destination         

Chain grp_10 (0 references)
target     prot opt source               destination         

Chain grp_2 (0 references)
target     prot opt source               destination         

Chain grp_3 (0 references)
target     prot opt source               destination         

Chain grp_4 (0 references)
target     prot opt source               destination         

Chain grp_5 (0 references)
target     prot opt source               destination         

Chain grp_6 (0 references)
target     prot opt source               destination         

Chain grp_7 (0 references)
target     prot opt source               destination         

Chain grp_8 (0 references)
target     prot opt source               destination         

Chain grp_9 (0 references)
target     prot opt source               destination         

Chain lan2wan (1 references)
target     prot opt source               destination         

Chain logaccept (0 references)
target     prot opt source               destination         
ACCEPT     0    --  anywhere             anywhere            

Chain logdrop (0 references)
target     prot opt source               destination         
DROP       0    --  anywhere             anywhere            

Chain logreject (0 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 

Chain trigger_out (1 references)
target     prot opt source               destination         
root@DD-WRT:~#

И еще вопросы:
Я тут не слишком много написал, для того что бы меня хакнули?
Какой ресурс проверяет роутер на безопасность подключения?

Axa
(18.01.15 21:59:08 MSK) автор топика

Ответ на: комментарий от dmiceman 18.01.15 19:56:41 MSK

PS/ В дополнение к предыдущему посту.
Как я понимаю можно указать маршрут для конкретного адреса и результат был бы тем же?

Axa
(18.01.15 22:08:39 MSK) автор топика

Ссылка

Ответ на: комментарий от dmiceman 18.01.15 19:56:41 MSK

PS2/

У меня в интерфейсе были введены такие команды для firewall

iptables -A FORWARD -s 10.0.0.0/8 -j ACCEPT
iptables -A FORWARD -d 10.0.0.0/8 -j ACCEPT
iptables -I POSTROUTING -t nat -o $(nvram get wan_iface) -d 10.0.0.0/8 -j NASQUERADE

Аргумент для -o

root@DD-WRT:~# nvram get wan_iface
vlan2

Странно, что она не отработала.
Точнее, она отработала но для сетки 10.0.0.0/8.
Так?

Axa
(18.01.15 22:24:21 MSK) автор топика

Ответ на: комментарий от Axa 18.01.15 22:24:21 MSK

-j NASQUERADE
Странно, что она не отработала.

okay.jpg

aol ★★★★★
(18.01.15 22:28:46 MSK)

Ответ на: комментарий от Axa 18.01.15 21:59:08 MSK

Я маршрутизатор еще не перегружал, поэтому не знаю, нужны ли первые две команды?

Очевидно, нет. Вернее, маскарад на ppp0 наверняка делается и так. Что это за vlan1 науке неизвестно (и неважно).

Я просто привел WAN как название интерфейса из вывода route.

укажите мне строки в iptables, которые отвечают за трансляцию внутренней сети Билайна в мою локальную сеть.

В смысле, что из этого может препятствовать доступу к внутренней сети билайна? Недостаточно данных. Надо, по крайней мере iptables -v -L.

Но правил маскарада тут все равно нет. Они живут в другой таблице ядра, nat. То есть, что бы их получить, необходимо сказать iptables -t nat -v -L . (А есть еще и таблица mangle, если интересно).

Я тут не слишком много написал, для того что бы меня хакнули?

Нет.

Какой ресурс проверяет роутер на безопасность подключения?

Собственный здравый смысл, по большинству.

Вообще, рекомендую почитать http://lartc.org/howto/ , если есть желание разобраться. Или же искать чекбокс «Enable NAT» в интерфейсе для vlan2. Должон быть.

Как я понимаю можно указать маршрут для конкретного адреса и результат был бы тем же?

Маршруты (роутинг) тут вообще ни при чем. С ними, скорее всего, все в порядке. Задача в том что бы взять пакет от компа в локалке, переотправить его от имени себя адресату, а потом ответ адресата умудриться переотправить компу в локалке.

dmiceman ★★★★★
(18.01.15 23:01:39 MSK)

Ответ на: комментарий от aol 18.01.15 22:28:46 MSK

[aol], спасибо. Вот я слепой то. 8-)

Axa
(18.01.15 23:24:30 MSK) автор топика

Ссылка

Ответ на: комментарий от dmiceman 18.01.15 23:01:39 MSK

dmiceman, огромное спасибо, что нашли время на обстоятельные ответы.

Axa
(18.01.15 23:31:42 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Shellslowpok

Admin

Кто-то лезет в роутер

→

Похожие темы