LINUX.ORG.RU
ФорумAdmin

Маршрутизация на 3 интерфейса

 ,


0

2

Не могу разобраться с роутами.

Имеется комп, подключенный к интернету и 2м впнам. Задача: настроить роуты так, чтобы комп можно было использовать как гейтвей ко всем 3м сетям (2 впна и инет)

Ниже листинг ifconfig

eth0      Link encap:Ethernet  HWaddr d8:50:e6:bf:b7:d6  
          inet addr:192.168.200.114  Bcast:192.168.200.255  Mask:255.255.255.0
          inet6 addr: fe80::da50:e6ff:febf:b7d6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15385 errors:0 dropped:4 overruns:0 frame:0
          TX packets:3921 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:4519274 (4.5 MB)  TX bytes:583659 (583.6 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:63 errors:0 dropped:0 overruns:0 frame:0
          TX packets:63 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:6092 (6.0 KB)  TX bytes:6092 (6.0 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:172.16.10.43  P-t-P:172.16.10.43  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1412  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:5.5.0.42  P-t-P:5.5.0.42  Mask:255.255.248.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ip_forward какой? Маршрутизация откуда? Как сейчас получается?

turtle_bazon ★★★★★ ()

Да его как бы и так можно использовать как Gateway выхода в Internet и для доступа к VPN сетям.

Достаточно в IPTABLES задействовать NAT, а так же включить IP Forwarding.

А вот если вы хотите так же достучаться до ПК, которые к примеру находятся за VPN сетью, то вот тогда вам придётся прокладывать маршруты на этом ПК до сети за VPN сетью и на других участниках сети до сети за этим ПК.

kostik87 ★★★★★ ()
Ответ на: комментарий от kostik87

Достаточно в IPTABLES задействовать NAT, а так же включить IP Forwarding.

IP Forwarding включил. Моей основной задачей стоит сделать доступ к серверам, находящимся в(!) vpn-сетях. Насчет nat можете подробнее рассказать? В какую сторону идти.

neronmoon ()
Ответ на: комментарий от neronmoon

IP Forwarding включил. Моей основной задачей стоит сделать доступ к серверам, находящимся в(!) vpn-сетях.

В таком случае всё готово, указывайте этот ПК как шлюз и проверяйте доступность соответствующих ПК в VPN сети по их IP адресам в VPN сети. Например посредством ping.

Насчет nat можете подробнее рассказать?

Это в случае, если вам нужен доступ в Internet. Смотрите в сторону iptables SNAT или iptables MASQUERADE.

Так же посмотрите правила iptables для согласования размера кадра (MTU), а то в VPN сетях размер кадра меньше чем просто в TCP/IP и, к примеру, ping до сервера в VPN сети дойдёт, а вот с отправкой прочих пакетов будут проблемы.

Не поленитесь узнать значения новых для вас слов, если таковые есть.

Удачи.

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

В таком случае всё готово, указывайте этот ПК как шлюз и проверяйте доступность соответствующих ПК в VPN сети по их IP адресам в VPN сети. Например посредством ping.

Интернет есть, а компы в впн не пингуются

neronmoon ()
Ответ на: комментарий от neronmoon

а компы в впн не пингуются

Они точно в VPN сети? Т.е. вы пингуете из по IP адресам 172.16.10.* или 5.5.0.*? С шлюза хоть пингуются они?

inet addr:172.16.10.43  P-t-P:172.16.10.43  Mask:255.255.255.255

Вот здесь маска странная, так не должно быть.

Ну и настройке согласование MTU, вы же сами видите, что на tun0 значение MTU меньше чем на прочих интерфейсах, а это значит что пакеты от других инетрфейсов в этот попросту не пролезут.

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Да, пингуются

╰─➤  ping 172.20.21.87
PING 172.20.21.87 (172.20.21.87) 56(84) bytes of data.
64 bytes from 172.20.21.87: icmp_req=1 ttl=63 time=156 ms
64 bytes from 172.20.21.87: icmp_req=2 ttl=63 time=157 ms
64 bytes from 172.20.21.87: icmp_req=3 ttl=63 time=157 ms
64 bytes from 172.20.21.87: icmp_req=4 ttl=63 time=157 ms
^C
--- 172.20.21.87 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 156.740/157.183/157.758/0.609 ms
╭─root@masha-pc ~masha  
╰─➤  ping 192.168.100.251
PING 192.168.100.251 (192.168.100.251) 56(84) bytes of data.
64 bytes from 192.168.100.251: icmp_req=1 ttl=63 time=194 ms
64 bytes from 192.168.100.251: icmp_req=2 ttl=63 time=193 ms
^C
--- 192.168.100.251 ping statistics ---
3 packets transmitted, 2 received, 33% packet loss, time 2003ms
rtt min/avg/max/mdev = 193.468/194.115/194.763/0.783 ms

neronmoon ()
Ответ на: комментарий от neronmoon

Настраивайте согласование MTU посредством iptables.

К какому интерфейсу подключён ПК, с которого вы пингуете указанные IP адреса? Что у него указано шлюзом? Шлюз с него пингуется?

kostik87 ★★★★★ ()

Судя по вашему листингу, у вас VPN не работает:

neronmoon

tun0      
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun1      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)


В P-t-P соединении должны быть разные IP-шники на разных концах vpn-а. У вас -же:

tun0
          inet addr:172.16.10.43  P-t-P:172.16.10.43  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1412  Metric:1

tun1
          inet addr:5.5.0.42  P-t-P:5.5.0.42  Mask:255.255.248.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

Настройте корректно VPN, скажем так:
tun0
     inet addr:172.16.10.43  P-t-P:172.16.10.42  Mask:255.255.255.255

Если vpn устанавливает меньшее mtu - не беда,
ядро разберет пакеты на фрагменты.

Если на клиентах роутер - это шлюз по умолчанию, тогда все что надо сделать, на роутераХ прописать маршрут в соседнюю сеть (которая за vpn-ом).

Если за tun0 скрывается сеть 192.168.5.0/24, то

ip route add 192.168.5.0/24 via 172.16.10.42 dev tun0


Аналогично, с другого конца vpn-а, нужно установить маршрут в нашу сеть (на роутере или клиенте - который устанавливает vpn).
В зависимости от типа VPN - есть опции, позволяющие автоматически прописывать необходимые маршруты при установлении соединения.
Курим документацию на используемый VPN.

xnt ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.