debian vlan4 маршрут до pptp сетей

0

2

Здравствуйте. Столкнулся с не понятной для меня проблемой, вот есть в моей сети vlan320(получаю интернет), vlan337(через него атс выходит в мир), pptp(192.168.111.0/24 связываю офисы),eth1(192.168.0.0/24 локальная сеть) и vlan4(192.168.101.0/24 локальная сеть для атс).

Из eth1 легко пингую vlan4, так же и в обратную сторону. Из подсети eth1 могу пропинговать сети удалённых офисов. Из сети удалённых офисов тоже могу пингануть vlan4. Но вот проблема, из vlan4 не могу пропинговать удалённые сети, причём пинг до 192.168.111.235 (192.168.20.0/24 via 192.168.111.235 dev ppp2) идёт, а до 192.168.20.46 пинга нет.

#ip route

root@ajanGW:/# ip route
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1
192.168.3.0/24 via 192.168.111.248 dev ppp1
192.168.4.0/24 via 192.168.111.250 dev ppp3
192.168.5.0/24 via 192.168.111.251 dev ppp0
192.168.20.0/24 via 192.168.111.235 dev ppp2
192.168.100.0/24 via 192.168.111.28 dev ppp5
192.168.101.0/24 dev vlan4  proto kernel  scope link  src 192.168.101.1
192.168.111.28 dev ppp5  proto kernel  scope link  src 192.168.111.1
192.168.111.235 dev ppp2  proto kernel  scope link  src 192.168.111.1
192.168.111.242 dev ppp4  proto kernel  scope link  src 192.168.111.1
192.168.111.248 dev ppp1  proto kernel  scope link  src 192.168.111.1
192.168.111.250 dev ppp3  proto kernel  scope link  src 192.168.111.1
192.168.111.251 dev ppp0  proto kernel  scope link  src 192.168.111.1

#iptables-save

# Generated by iptables-save v1.4.14 on Tue Oct 25 17:27:42 2016
*nat
:PREROUTING ACCEPT [44359:3939800]
:INPUT ACCEPT [21299:1547631]
:OUTPUT ACCEPT [15462:992571]
:POSTROUTING ACCEPT [15942:1023768]
-A PREROUTING -i eth1 -p tcp -m iprange --src-range 192.168.0.2-192.168.0.255 -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -s 192.168.0.0/24 -o vlan320 -j MASQUERADE
-A POSTROUTING -s 192.168.101.0/24 -o vlan337 -j MASQUERADE
-A POSTROUTING -s 192.168.111.235/32 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.111.248/32 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.111.250/32 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.111.251/32 -o ppp+ -j MASQUERADE
-A POSTROUTING -s 192.168.111.0/24 -o ppp+ -j MASQUERADE
COMMIT
# Completed on Tue Oct 25 17:27:42 2016
# Generated by iptables-save v1.4.14 on Tue Oct 25 17:27:42 2016
*filter
:INPUT ACCEPT [632820:437356756]
:FORWARD ACCEPT [1261899:952449514]
:OUTPUT ACCEPT [657501:422817492]
:FW-FORWARD-443 - [0:0]
:FW-FORWARD-PPTP - [0:0]
-A FORWARD -j FW-FORWARD-443
-A FORWARD -i eth1 -p tcp -m tcp --dport 443 -j DROP
-A FORWARD -j FW-FORWARD-PPTP
-A FORWARD -i ppp+ -o vlan320 -j DROP
-A FORWARD -i ppp+ -o eth1 -j DROP
-A FORWARD -i ppp+ -o vlan4 -j DROP
-A FW-FORWARD-443 -d 146.120.90.72/32 -i eth1 -j ACCEPT
-A FW-FORWARD-443 -d 146.120.90.62/32 -i eth1 -j ACCEPT
-A FW-FORWARD-443 -d 146.120.90.19/32 -j ACCEPT
-A FW-FORWARD-443 -s 192.168.0.13/32 -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FW-FORWARD-443 -s 192.168.0.249/32 -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FW-FORWARD-PPTP -o ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -d 192.168.0.0/24 -i ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.235/32 -d 192.168.101.0/24 -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.248/32 -d 192.168.101.0/24 -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.250/32 -d 192.168.101.0/24 -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.251/32 -d 192.168.101.0/24 -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.101.0/24 -o ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.235/32 -o ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.248/32 -o ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.250/32 -o ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.111.251/32 -o ppp+ -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.101.0/24 -o ppp+ -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
-A FW-FORWARD-PPTP -i vlan4 -o ppp+ -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
-A FW-FORWARD-PPTP -s 192.168.101.0/24 -d 192.168.5.0/24 -j ACCEPT
COMMIT
# Completed on Tue Oct 25 17:27:42 2016

Снял дамп пинга, начал смотреть в wireshark

1	0.000000	192.168.101.141	192.168.20.46	ICMP	98	Echo (ping) request  id=0x4b60, seq=1/256, ttl=64 (no response found!)

Как мне заставить vlan4 видеть удалённые сети подразделений?

Ссылка

←	Sams2 сыпет ошибки

зачем они это делают?

→

Нарисуй топологию с подписанными интерфейсами, вланами и айпишниками

zolden ★★★★★
(25.10.16 13:51:21 MSK)

Цепочки в iptables придумали для избежания повторения одинакового условия у всех правил. У вас какая-то каша правил, попробуйте по ней прогнать ответный icmp-пакет, надеюсь src/dst ip-адреса и интерфейсы этого пакета сами написать сможете.

Хотя, если на 192.168.111.235 в правилах iptables аналогичное, то icmp-пакет может дропаться там.

mky ★★★★★
(25.10.16 14:28:13 MSK)

Ответ на: комментарий от mky 25.10.16 14:28:13 MSK

Такая каша сейчас получилась только потому-что изначально, когда ставили шлюз, по умолчанию поставили правила - accept. Организация работает практически круглые сутки, и не даёт прервать работу. Вот я таким способом дропаю пакеты, которые я не хочу видеть в своей сети, понимаю не красиво, но это временное решение. На маршрутизаторе, который подключается к впн-серверу, все протоколы (tcp,upd,icmp) для моего соединения accept.

MuTbKa
(25.10.16 14:46:04 MSK) автор топика

Ответ на: комментарий от zolden 25.10.16 13:51:21 MSK

Топология сети

MuTbKa
(25.10.16 14:47:40 MSK) автор топика

Ответ на: комментарий от MuTbKa 25.10.16 14:47:40 MSK

+ вывод
ip a
ip ru

zolden ★★★★★
(25.10.16 15:45:19 MSK)

Ответ на: комментарий от zolden 25.10.16 15:45:19 MSK


root@GW:/# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether c8:be:19:27:cd:c5 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth1
    inet6 fe80::cabe:19ff:fe27:cdc5/64 scope link
       valid_lft forever preferred_lft forever
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether c8:60:00:5b:60:ca brd ff:ff:ff:ff:ff:ff
    inet6 fe80::ca60:ff:fe5b:60ca/64 scope link
       valid_lft forever preferred_lft forever
4: vlan320@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether c8:60:00:5b:60:ca brd ff:ff:ff:ff:ff:ff
    inet <ВНЕШНИЙ IP I-net>/25 brd XXX.XXX.XXX.127 scope global vlan320
    inet6 fe80::ca60:ff:fe5b:60ca/64 scope link
       valid_lft forever preferred_lft forever
5: vlan337@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether c8:60:00:5b:60:ca brd ff:ff:ff:ff:ff:ff
    inet <ВНЕШНИЙ IP IpATS>/22 brd XXX.XXX.XXX.XXX scope global vlan337
    inet6 fe80::ca60:ff:fe5b:60ca/64 scope link
       valid_lft forever preferred_lft forever
6: vlan4@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether c8:be:19:27:cd:c5 brd ff:ff:ff:ff:ff:ff
    inet 192.168.101.1/24 brd 192.168.101.255 scope global vlan4
    inet6 fe80::cabe:19ff:fe27:cdc5/64 scope link
       valid_lft forever preferred_lft forever
319: ppp3: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1496 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.111.1 peer 192.168.111.250/32 scope global ppp3
416: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1446 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.111.1 peer 192.168.111.251/32 scope global ppp0
425: ppp4: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.111.1 peer 192.168.111.242/32 scope global ppp4
426: ppp5: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1496 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.111.1 peer 192.168.111.28/32 scope global ppp5
434: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1496 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.111.1 peer 192.168.111.248/32 scope global ppp1
440: ppp2: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1446 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.111.1 peer 192.168.111.235/32 scope global ppp2
root@GW:/# ip ru
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

[\code]

MuTbKa
(25.10.16 16:04:51 MSK) автор топика

Ссылка

Ответ на: комментарий от MuTbKa 25.10.16 14:46:04 MSK

-A FORWARD -i ppp+ -o vlan4 -j DROP

mky ★★★★★
(25.10.16 17:11:27 MSK)

Ответ на: комментарий от mky 25.10.16 17:11:27 MSK

Действительно, интересно. Я ведь запретил входящие из всех впн, до vlan4. Почему пинги из vlan4 к ppp+ могли пропасть? Это те самые ответы на ICMP запросы я запретил, о которых вы мне говорили?

MuTbKa
(25.10.16 17:21:37 MSK) автор топика

Ответ на: комментарий от MuTbKa 25.10.16 17:21:37 MSK

Почему пинги из vlan4 к ppp+ могли пропасть?

-A FW-FORWARD-PPTP -o ppp+ -j ACCEPT

Причём это правило лишает смысла все последующие правила, в которых есть ″-o ppp+″. Можно, конечно, посоветовать вам переписать все правила, но зачем...

причём пинг до 192.168.111.235 (192.168.20.0/24 via 192.168.111.235 dev ppp2) идёт:

-A FW-FORWARD-PPTP -s 192.168.111.235/32 -d 192.168.101.0/24 -j ACCEPT

mky ★★★★★
(25.10.16 17:45:18 MSK)

Ответ на: комментарий от mky 25.10.16 17:45:18 MSK

Очень благодарен за помощь. Правила перепишу

MuTbKa
(25.10.16 18:25:19 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Sams2 сыпет ошибки

Admin

зачем они это делают?

→

Похожие темы