LINUX.ORG.RU
ФорумAdmin

Сервер PPtP не видит локалку клиента

 , , , ,


0

1

Доброго дня. Есть два роутера, связанные по PPtP. Клиент видит локалку сервера.

Сервер не видит (и не пингует) даже локальный адрес самого клиента. Картинок здесь нет, поэтому рисовал от руки, извините.

+-------------+    +-------------+-------------+        +-------------+     +-------------+
| 192.168.9.2 |>>>>| 192.168.9.1 |  10.0.0.1   |>>Inet>>| 192.168.8.1 |>>>>>| 192.168.8.2 |
+-------------+    +-------------+-------------+        +-------------+     +-------------+
| 192.168.9.3 |    |    LAN      |    PPtP     |        |     LAN     |     | 192.168.8.3 |
+-------------+    +-------------+-------------+        +-------------+     +-------------+
| 192.168.9.4 |       Роутер с PPtP клиентом               Роутер с         | 192.168.8.x |
+-------------+                                          PPtP сервером      +-------------+

Проблема в том, что я вообще не могу понять, где, куда и какой прописывать этот дополнительный route add?

Вот таблица маршрутов на PPtP сервере.

                                    
10.0.0.1	*		255.255.255.255		0	ppp10
192.168.1.100	*		255.255.255.255		0	vlan2 (WAN)
10.0.0.2	*		255.255.255.255		0	ppp11
192.168.1.0	*		255.255.255.0		0	vlan2 (WAN)
192.168.8.0	*		255.255.255.0		0	br0 (LAN)
127.0.0.0	*		255.0.0.0		0	lo
default		192.168.1.100	0.0.0.0			0	vlan2 (WAN)

192.168.1.100 - это шлюз интернета, он в рассмотрении не участвует.

Update! Для того, чтобы для единичного клиента ppp10 с vpn-адресом 10.0.0.1 с адресов 192.168.8.x видеть 192.168.9.x

Нужно ввести в веб-интерфейсе Tomato -> Tools -> System commands ->

ip route add 192.168.9.0/24 via 10.0.0.1 dev ppp10

Это:

192.168.9.1 10.0.0.2 255.255.255.255 0 WAN

похоже на какой-то троллинг. Если у вас 10.0.0.2 на интерфейсе ppp11, то просто так маршрут через WAN не пропишется.

Маршрут к 192.168.9.0/24 нужно прописывать на pptp-сервере, при поднятом pptp соединении, через адрес, выданый pptp-клиенту (10.0.0.1).

mky ★★★★★ ()
Ответ на: комментарий от mky

Если бы это был троллинг... Я вообще не могу въехать в маршрутизацию именно потому, что нигде не встречаю правильных команд. Только вопросы с неправильными и комментарии как исправить.

Если ограничиться одним PPtP клиентом с адресом 10.0.0.1, то так будет правильно?

Destination	Gateway	Subnet Mask	Metric	Interface	
192.168.9.1	10.0.0.1	255.255.255.255	0	WAN
Это Static Routing Table на сервере

boulder ()
Ответ на: комментарий от hbars

iptables -vL

Chain INPUT (policy DROP 8266 packets, 470K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   13   520 DROP       all  --  any    any     anywhere             anywhere            state INVALID 
11950 1242K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    7   380 shlimit    tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh state NEW 
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere            
  503 33055 ACCEPT     all  --  br0    any     anywhere             anywhere            
    1    32 ACCEPT     icmp --  any    any     anywhere             anywhere            limit: avg 1/sec burst 5 
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpts:33434:33534 limit: avg 5/sec burst 5 
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:1723 
    0     0 ACCEPT     gre  --  any    any     anywhere             anywhere            

Chain FORWARD (policy DROP 1052 packets, 75062 bytes)
 pkts bytes target     prot opt in     out     source               destination         
38610   26M            all  --  any    any     anywhere             anywhere            account: network/netmask: 192.168.8.0/255.255.255.0 name: lan 
    0     0 ACCEPT     all  --  br0    br0     anywhere             anywhere            
    0     0 DROP       all  --  any    any     anywhere             anywhere            state INVALID 
37561   26M ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED 
    0     0 wanin      all  --  vlan2  any     anywhere             anywhere            
 2046  150K wanout     all  --  any    vlan2   anywhere             anywhere            
 1049 79232 ACCEPT     all  --  br0    any     anywhere             anywhere            

Chain OUTPUT (policy ACCEPT 12640 packets, 1129K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain shlimit (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    7   380            all  --  any    any     anywhere             anywhere            recent: SET name: shlimit side: source 
    1    60 DROP       all  --  any    any     anywhere             anywhere            recent: UPDATE seconds: 60 hit_count: 4 name: shlimit side: source 

Chain wanin (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain wanout (1 references)
 pkts bytes target     prot opt in     out     source               destination        

iptables -vL -t nat


Chain PREROUTING (policy ACCEPT 11390 packets, 689K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 8236  462K WANPREROUTING  all  --  any    any     anywhere             wan1-ip             
    0     0 DROP       all  --  vlan2  any     anywhere             192.168.8.0/24      

Chain POSTROUTING (policy ACCEPT 80 packets, 6982 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 1664  122K MASQUERADE  all  --  any    vlan2   anywhere             anywhere            
    0     0 SNAT       all  --  any    br0     192.168.8.0/24       192.168.8.0/24      to:192.168.8.1 

Chain OUTPUT (policy ACCEPT 687 packets, 48633 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain WANPREROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    1    32 DNAT       icmp --  any    any     anywhere             anywhere            to:192.168.8.1 
boulder ()
Ответ на: комментарий от boulder

Но это, конечно, жопа. Мне, например, всегда кажется, что после таких «простыней» количество желающих помочь уменьшается в разы.

Кроме того пока вот эта команда

ip route add 192.168.9.1 dev ppp11
сработала Две недели бился. Сейчас ещё покумекаю.

boulder ()
Ответ на: комментарий от hbars

Там всё через GUI настроено, это ж Tomat'а. Отличная прошивка, особенно если дома лежит дюжина Broadcom'овских роутеров :)

Я, например, в упор не понимаю, где в этой простыне находится маскарад. Мне хватит одной добавленной команды. Вот, на форуме, где можно картинки вставлять ,подсказывают

ip route add 192.168.9.0/24 via 10.0.0.1 dev ppp10
Но опять же, там сразу подсказывают конкретную команду. А у нас задают наводящие вопросы, как на экзамене :)

boulder ()
Ответ на: комментарий от boulder

там сразу подсказывают конкретную команду

Смысл то показывать конкретную команду, при новом подключении есть шанс, что будет другой интерфейс (не ppp10), подсказанная команда не сработает и появится ваш новый топик.

А главное, этот маршрут нужно создавать всякий раз при подключении/переподключении клиента, так что это вас быстро утомит и вам захочется скрипт, делающий это автоматически...

mky ★★★★★ ()
Последнее исправление: mky (всего исправлений: 1)
Ответ на: комментарий от boulder

Вот, на форуме, где можно картинки вставлять

Который похоже заблокирован кровавой гэбней ркн. Проверил с трех провов, не работает, не из этой страны работает. Видимо за картинки закрыли :)

Про возможное изменение названия интерфейса выше mky правильно написал. И дополню если у вас клиенту не статика 10.0.0.1 выдается, то возможно и изменение ip адреса.

anc ★★★★★ ()

ЗЫ И еще как замечание. Возможно что сетка 192.168.9.X может выходить в инет через сервер у которого 192.168.8.1. Зависит от настроек. Если defgw на pptp то пойдет туда.

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну, теперь, когда всё хорошо, можно и пооффтопить немного :)

Автоматический скрипт я, конечно, захочу, но это уже будет совершенно другой вопрос (и, наверняка, поднятие маршрута по условию уже намного проще и описано в куче мест). Проблему надо решать по частям. Был конкретный затык, можно ли принципиально, в моих условиях, сделать подобные подобные межсетевые взаимодействия в прошивке Tomato через PPtP.

Теперь-то можно идти дальше.

И насчёт наводящих вопросов - это как раз из разряда «вот научитесь прыгать с вышки - тогда и воду в бассейн нальём», «вот музтеорию выучишь - тогда и к пианино пустим» и проч. :)

boulder ()
Ответ на: комментарий от boulder

Хотя, интернет, похоже, совсем перестаёт работать после вышеописанного маршрута.

Вот видите, без наводящих вопросов не обойтись. Где перестаёт работать? Мы за вас догадаться должны?

anc ★★★★★ ()
Ответ на: комментарий от anc

Без наводящих вопросов обойтись, конечно, нельзя.

Но нельзя только лишь вопросами и ограничиваться. Вот я о чём :)

Я ясно написал в вопросе, что «вообще не могу понять, где, куда и какой... прописывать». В ответ на это - почитайте, что мне посоветовали.

У меня уже всё работает как надо, хотя команду я, получается написал сам. За наводящие вопросы спасибо, конечно.

Это не отменяет того факта, что зарубежные специалисты при одном взгляде на схему выдали мне абсолютно верный ответ. Тут вопрос в квалификации, согласен.

boulder ()
Ответ на: комментарий от boulder

Я ясно написал в вопросе, что «вообще не могу понять, где, куда и какой... прописывать». В ответ на это - почитайте, что мне посоветовали.

Вам в третьем посте посоветовали:
«Маршрут к 192.168.9.0/24 нужно прописывать на pptp-сервере, при поднятом pptp соединении, через адрес, выданый pptp-клиенту (10.0.0.1).»
Что-то не так в этом совете?

anc ★★★★★ ()
Ответ на: комментарий от anc

В том, что я не знаю как его прописывать. То есть я две недели читал, что - да, есть команда route add. Есть gateway, маска и всё такое.

Но даже если бы мой мозг работал на стероидах я всё равно бы не выдумал служебное слово «via» и, тем более, не поставил бы его на нужное место :)

boulder ()