LINUX.ORG.RU
ФорумAdmin

openvpn SNAT

 ,


0

1

здравствуйте. есть 4g модем zte mf823, на нем поднят впн в качестве клиента, модем в системе определяется как отдельная сетевая карта usb0 и мой пк получает от модема по dhcp ip. Надо пустить локального клиента в интрнет через данный тунель, модуля маскарад нету! 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:335 (335.0 B)  TX bytes:335 (335.0 B)

rmnet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:192.168.0.2  Mask:255.255.255.0
          UP RUNNING  MTU:1500  Metric:1
          RX packets:35089 errors:0 dropped:0 overruns:0 frame:0
          TX packets:30186 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:29867657 (28.4 MiB)  TX bytes:5283936 (5.0 MiB)

rmnet1    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet6 addr: fe80::7a9f:1572:a20f:b1c2/64 Scope:Link
          UP RUNNING PROMISC ALLMULTI  MTU:1500  Metric:1
          RX packets:15 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1280 (1.2 KiB)  TX bytes:1232 (1.2 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.211.1.5  P-t-P:10.211.1.6  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:6796 (6.6 KiB)

usb0      Link encap:Ethernet  HWaddr 34:4B:50:B7:EF:08  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::364b:50ff:feb7:ef08/64 Scope:Link
          UP BROADCAST RUNNING PROMISC ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:89172 errors:0 dropped:0 overruns:0 frame:0

remote blabla.ru 1194
redirect-gateway def1
client
dev tun
proto udp
nobind
resolv-retry infinite
pull
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client4.crt
key /etc/openvpn/client4.key
comp-lzo
verb 4
mute 20
cipher DES-EDE3-CBC
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.211.1.6      128.0.0.0       UG        0 0          0 tun0
0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0 rmnet0
10.211.1.6      0.0.0.0         255.255.255.255 UH        0 0          0 tun0
70.189.238.105  0.0.0.0         255.255.255.255 UH        0 0          0 rmnet0
128.0.0.0       10.211.1.6      128.0.0.0       UG        0 0          0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 usb0

iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.xx.x.xx пробовал такое правило и по аналогии, не получается, в чем дело?


Я нихрена не понял, чьи интерфейсы показаны в листинге и откуда подключается локальный клиент? Но, когда пишут правила в ″-t nat -A POSTROUTING″ подразумевается FORWARD трафика. Поэтому стандартные вопросы, влючён ли forward-пакетов (sysctl или echo > /proc/...) и разрешены ли пакеты в iptables FORWARD.

mky ★★★★★
()
Ответ на: комментарий от mky

у

это все интрфейсы на 3g модеме, он же роутер c кастрированным linuxom На борту. 

root@9615-cdp:~# iptables -nvL FORWARD
Chain FORWARD (policy ACCEPT 2032 packets, 492K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2033  492K macipport_filter  all  --  *      *       0.0.0.0/0            0.0.0.0/0

iptables-save 

# Generated by iptables-save v1.4.12.1 on Tue Oct 13 04:16:43 2015
*mangle
:PREROUTING ACCEPT [139990:9765797]
:INPUT ACCEPT [137828:9254467]
:FORWARD ACCEPT [2118:501825]
:OUTPUT ACCEPT [137780:9068352]
:POSTROUTING ACCEPT [139898:9570177]
-A POSTROUTING -o rmnet+ -j TTL --ttl-set 64
COMMIT
# Completed on Tue Oct 13 04:16:43 2015
# Generated by iptables-save v1.4.12.1 on Tue Oct 13 04:16:43 2015
*nat
:PREROUTING ACCEPT [3506:214916]
:INPUT ACCEPT [3384:199494]
:OUTPUT ACCEPT [108:6559]
:POSTROUTING ACCEPT [193:13191]
COMMIT
# Completed on Tue Oct 13 04:16:43 2015
# Generated by iptables-save v1.4.12.1 on Tue Oct 13 04:16:43 2015
*filter
:INPUT ACCEPT [136183:9139414]
:FORWARD ACCEPT [2115:501052]
:OUTPUT ACCEPT [137287:9034671]
:macipport_filter - [0:0]
-A INPUT -p udp -m udp --dport 4719 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4719 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i rmnet0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i rmnet0 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -i rmnet0 -p icmp -j DROP
-A FORWARD -j macipport_filter
COMMIT
форвард включен.

winame
() автор топика
Ответ на: у от winame

ф

Понятно. А «локальный клиент» это что? И как он подключен? openvpn тунель вобще работает? Противоположный конеце (10.211.1.6) на пинги отвечает? А то по счётчикам у тунеля Tx не ноль, а Rx ноль байт.

mky ★★★★★
()
Ответ на: ф от mky

g

локальный клиент. это мой ПК за модемом который подключен. модем с пк соеденияется как я понял по интрфейсу RNDIS

winame
() автор топика
24 ноября 2015 г.
Ответ на: g от winame

оффтоп

если это интерфейсы на модеме, то скажи, откуда ты взял tun.ko для mf823?? Или это какой-то самосбор? Подскажи, пожалуйста, как получить tun драйвер для mf823!

anonymous
()

1. Вот здесь вот --to-source 10.xx.x.xx вы какой все-таки адрес пишите?
2. Вообще vpn этот работает если например его локально на компе запустить?
3. Есть возможность посмотреть куда реально трафик уходит? Если на tun0 то есть ли возможность посмотреть что на сервере?

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin