локальная сеть! инет по vpn

1 способ - NAT 2 способ - proxy

ну скажем по нату как реализовать?

Кусок моего скрипта:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $INTERNET -j MASQUERADE # включение маршрутизации в инет Где: Вместо 192.168.0.0/24 указываешь айпи одного клиента или всю клиентскую подсеть Вместо $INTERNET указываешь имя ppp интерфейса. У меня ppp0.

схема не совпадает с описанием
если eth1 - внешний а eth0 внутренний то както так:

sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

а до или после этого что то нужно делать? Может ип, маску прописать на сервере?

sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE прописал я так. ничего не поменялось на ноуте даже разрывается соединение .... с начало долго реквизиты заращивает, забивает и отрубаетцо!

>Может ип, маску прописать на сервере?

Дак это само собой, только не понятно, почему в первом посте интернет приходит в eth1, а на рисунке eth1 воткнут в свич, куда ещё воткнут ноут.

А маску и ip на оба интерефейса должны определить и назначить вы, если назовёте дистрибутив, то может скажут какой файл конфигурации править.

Для того, чтобы работал MASQRADE, нужно разрешить FORWARD в iptables, по простому так: "iptables -I FORWARD -j ACCEPT".

>ничего не поменялось на ноуте даже разрывается соединение .... с начало долго реквизиты заращивает, забивает и отрубаетцо!

Вы для начала добейтесь работы ping на ноте, допустим "ping ya.ru", а потом уже запускайте другой сетевой софт.

>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Попробуй заменить eth1 на ppp0.

делаю так:

sysctl -w net.ipv4.ip_forward=1 iptables -I FORWARD -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

на интерфейсе eth0 (это через который нужно раздавать инет) прописал ip: 192.168.0.1 mask: 255.255.255.0

на ноуте пытаюсь автоматом получить реквизиты... не получается!

вот сейчас попробовал на ноуте исче прописать: ip: 192.168.0.21 mask: 255.255.255.0 gw: 192.168.0.1 DNS1: 192.168.0.1

законектилось пинг до 192.168.0.1 идет, но инета нету!

Так. Покажи-ка
ip ad sh
ip ro sh
с обоих компов, а также
iptables -vnL
со шлюза.

> вопрос: как это реализовать?

Идете к специалисту, согласовываете сумму, идете в юротдел, согласовываете договор подряда, специалист вам все делает, вы подписываете акт приемки работ, бухгалтерия выплачивает деньги специалисту, в конторе все работает, специалист при деньгах, деньги поставлены на затраты. Одно плохо - вас уволили, ну да это не беда, каждый должен занимать свое место и не занимать чужого :-)

no-dashi, и ведь и не поспоришь :) Я же уже кидал кусок своего скрипта. У меня там также инет "приходит из VPN" и "раздается на eth1".

неважно впн там или нет, принцип всеравно один и тот же:
1. разрешаешь ipv4-forward
2. делаешь snat или masquerade как уже сказали выше.

зы: внесите уже блин кто-нибудь этот вопрос в FAQ.

а чего, там до сих пор нет таких банальных вопросов?

ip ad sh 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:1a:4d:9d:0c:72 brd ff:ff:ff:ff:ff:ff inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0 inet6 fe80::21a:4dff:fe9d:c72/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:80:48:40:12:a3 brd ff:ff:ff:ff:ff:ff inet 10.103.140.105/24 brd 10.103.140.255 scope global eth1 inet6 fe80::280:48ff:fe40:12a3/64 scope link valid_lft forever preferred_lft forever 4: pan0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN link/ether fe:29:98:38:ea:64 brd ff:ff:ff:ff:ff:ff 5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 3 link/ppp inet 213.191.8.108 peer 10.19.0.1/32 brd 213.191.8.108 scope global ppp0

ip ro sh 10.19.0.1 via 10.103.140.1 dev eth1 proto static 10.19.0.1 via 10.103.140.1 dev eth1 src 10.103.140.105 10.19.0.1 dev ppp0 proto kernel scope link src 213.191.8.108 85.21.79.38 via 10.103.140.1 dev eth1 proto static 195.58.1.44/30 via 10.103.140.1 dev eth1 proto static 195.58.0.128/30 via 10.103.140.1 dev eth1 proto static 195.58.6.8/29 via 10.103.140.1 dev eth1 proto static 194.226.152.32/29 via 10.103.140.1 dev eth1 proto static 195.58.1.96/28 via 10.103.140.1 dev eth1 proto static 195.58.1.112/28 via 10.103.140.1 dev eth1 proto static 194.67.1.0/24 via 10.103.140.1 dev eth1 proto static 217.118.84.0/24 via 10.103.140.1 dev eth1 proto static 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1 metric 1 195.14.50.0/24 via 10.103.140.1 dev eth1 proto static 10.103.140.0/24 dev eth1 proto kernel scope link src 10.103.140.105 metric 1 85.21.79.0/24 via 10.103.140.1 dev eth1 proto static 169.254.0.0/16 dev eth0 scope link metric 1000 10.0.0.0/8 via 10.103.140.1 dev eth1 proto static default dev ppp0 proto static

iptables -vnL FATAL: Error inserting ip_tables (/lib/modules/2.6.28-15-generic/kernel/net/ipv4/netfilter/ip_tables.ko): Operation not permitted iptables v1.4.1.1: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded.

это всё в на сервере!Ё!!!

can't initialize iptables table `filter': Permission denied (you must be root)

iptables и раньше так ругался?

ЗЫ: На вашем месте я бы начал отсюда!

> У меня там также инет "приходит из VPN" и "раздается на eth1"

Это вообще типичнейшая задача. Если человек не осилил 1. Настройку VPN 2. Включить маршрутизацию через sysctl 3. Разрешить форвардинг и включить MASQUERADE на VPN-интерфейсе то ему IMHO надо идти либо основательно подтягивать знания, либо выбирать другую платформу, либо увольняться :-)

Значит, маскарад нужно делать для ppp0.

А iptables от рута запускал?

день комиксов на ЛОРе! спешите видеть! только сегодня, весёлые картинки, загадочные роуты и манга сетевого администрирования!!!11

естественно от рута

Мм... ядро, iptables не пересобирал? Сообщение об ошибке каждый раз вываливается?

Сначала заходим на ваш "сервер" удаленно и запускаем команду ping -c 4 ya.ru .
Смотрим вывод команды, если пакеты "возвращаються" то инет на вашем "сервере" есть, если нет копаем настройки pppd, если не ошибаюсь.
Далее, в первом случае пишем скрипт c именем например inet.sh и примерно таким содержанием.

#!/bin/sh
#bla-bla-bla hochy ineta
echo "1" > /proc/sys/net/ipv4/ip_forward
IPTABLES=/sbin/iptables
NET=eth1
INET=ppp0
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
$IPTABLES -t nat -A POSTROUTING -o $INET -j MASQUERADE
##############
И прописываем в автозапуск.

На клиенте пропиписываем любой свободный IP-адрес маску подсети которую используете
Gateway 192.168.0.1
И DNS сервера которые указаны в договоре у провайдера (который у вас) или которые получает при соединение ваш "сервер".

Делаем с клиента ping ya.ru и все должно работать.
Вроде должно быть доходчиво

А вообщето на Вашем месте я бы больше сюда не писал не прочитав хоть какой-то начальной документации/инструкции по волнующей проблеме.