LINUX.ORG.RU
решено ФорумAdmin

pppoe+iptables


0

0

Доброй ночи, ЛОР.

Такая проблема, не могу завернуть траффик в локальной сети в PPPoE.

Структура следующая: от провайдера идет пппое соединение которое обеспечивает длинковский роутер, от него дальше идет в компик с двумя интерфейсами: eth0 от длинка и eth1 в локальную сеть, поднял PPPoE сервер:

hawaii% cat /etc/ppp/pppoe-server-options 
auth
logfile /var/log/log.pppoe
require-chap
lcp-echo-interval 20
lcp-echo-failure 3
noipdefault
noipx
nodefaultroute
noproxyarp
ms-dns 85.113.62.227
ms-dns 85.113.63.252
netmask 255.255.255.0

hawaii% sudo !!                  
sudo cat /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test             *       testpassword             10.0.1.15  

Создал скрипт с командами iptables.

hawaii% sudo cat /etc/iptables.rules  
#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD ACCEPT 
iptables -A FORWARD -j ACCEPT -p ALL -s 0.0.0.0/0 -d 0.0.0.0/0 -i ppp+

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.3.10 

/usr/sbin/pppoe-server -I eth1 -L 10.0.1.1

Настройки интерфейсов:

hawaii% sudo cat /etc/network/interfaces 
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet static
address 192.168.3.10
netmask 255.255.255.0
gateway 192.168.3.1
pre-up /etc/iptables.rules
auto eth0

#The secondary interface
iface eth1 inet static
address 10.0.1.1
netmask 255.255.255.0
auto eth1

В локальной сети раздаются настройки сервером udhcpd, нужно чтобы в интернет ходили только авторизованные пользователи, но получается что интернет в PPPoE не заходит, а либо идет мимо или его вообще нет, при установки политики FORWARD DROP интернет падает. Хотя PPPoE-тоннель создается. Где я делаю неправильно?

★★

s/при\ установки/при\ установке/

вот еще на всякий

это со шлюза

hawaii% sudo route -n
[sudo] password for wlan: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth0

это с ноута(клиента):

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0

wlan ★★ ()

А помимо этого скрипта ещё что-нибудь в iptables есть?
Просто такие настройки позволяют любому пройти цепочку FORWARD.

при установки политики FORWARD DROP интернет падает.

добавь iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Nao ★★★★★ ()
Ответ на: комментарий от Nao

кроме этого ничего нет

щас добавлю в скриптец, отпишусь

wlan ★★ ()
Ответ на: комментарий от dev-ice

пинги идут на тот ипэ адрес на котором поднят PPPoE(10.1.1.1)

а там дальше еще стоит роутер длинковский он коннектит к прову уже

wlan ★★ ()

+ выбивает из колеи фраза:

hawaii% sudo !! sudo cat /etc/ppp/chap-secrets

# Secrets for authentication using CHAP

# client server secret IP addresses

test * testpassword 10.0.1.15

-----

ты с PPPoE уже не работешь, если он у тебя подклчен к роутеру, ты работаешь с обычным Ethernet. В итоге проблема сводится к тому - как оргазнизовать НАТ между интерфейсами.

dev-ice ()
Ответ на: комментарий от wlan

ептить, это не PPPoE, это PPtP называется, если ты имеешь ввиду, что пользователи к подключаются к твоему серверу после ввода логина и пароля + ip сервера

dev-ice ()
Ответ на: комментарий от dev-ice

какое нафег пптп, если пакет называется pppoe, поднимается pppoe-server, для pptp есть poptop,

IP-адреса сервер назначает сам, их просто можно жестко прибить к логину и паролю, какие выдавать. PPPoE это не только ADSL

wlan ★★ ()
Ответ на: комментарий от wlan

У тебя клиент к твоему pppoe не подключается, судя по приведенным таблицам маршрутизации. Радели задачу на три - запретить инет всем, заставить работать pppoe-server, открыть доступ в инет от тех кто коннектится к пппое.

ventilator ★★★ ()
Ответ на: комментарий от dev-ice

я забыл написать sudo сначала, а чапсикретс не кажет для юзера, поэтому

$sudo !!

!! заменяет предыдущую введеную команду

дальше specially for you, пппое может пересекаться с адресами локальной сети, там опция есть, но если хочешь:

 hawaii% sudo cat /etc/ppp/chap-secrets
 [sudo] password for wlan:
 # Secrets for authentication using CHAP
 # client server secret        IP addresses 
  test      *     testpassword 10.1.1.15 

ты с PPPoE уже не работешь, если он у тебя подклчен к роутеру, ты работаешь с обычным Ethernet. В итоге проблема сводится к тому - как оргазнизовать НАТ между интерфейсами.

PPPoE это и есть езернет, только с инкапсулированными пакетами.

лучше скастуй мне кого-нибудь или предложи идеи

wlan ★★ ()
Ответ на: комментарий от wlan

оффтоп: поставил себе pppoe-server и слегка вперся с настройками:

Jan 29 09:32:08 server pppd[4854]: The remote system is required to authenticate itself

Jan 29 09:32:08 server pppd[4854]: but I couldn't find any suitable secret (password) for it to use to do so.

Jan 29 09:32:08 server pppd[4854]: (None of the available passwords would let it use an IP address.)

пока что я не помощник ))

dev-ice ()
Ответ на: комментарий от ventilator

я прогнал и выложил табицы с отключенным ppp

клиент:

laptop% sudo route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.1.1        0.0.0.0         255.255.255.255 UH    0      0        0 ppp2
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0

сервер:

hawaii% sudo route -n                      
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.1.15       0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth0

wlan ★★ ()

попробуй для начала masquerading а не snat.
iptables -I POSTROUTING -j MASQUERADE -o eth0 -t nat
Ещё:
iptables -I FORWARD -i ppp+ -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o ppp+ -m state --state RELATED,ESTABLISHED -j ACEPT
iptables -P FORWARD DROP


И убедись что клиенты получают правильный роутинг.

CyberTribe ★★ ()
Ответ на: комментарий от CyberTribe

Зачем ему маскарадинг, если у него на eth0 статикой ип написан, тут явно не здесь проблема.

ventilator ★★★ ()
Ответ на: комментарий от ventilator

когда заворачиваю ерез route add default gw ... dev ppp2

и route del default gw ... dev eth0 инет отваливается,

тспдамп на шлюзе молчит

wlan ★★ ()
Ответ на: комментарий от wlan

Покажи трассу с клиента на 192.168.3.1, и что показывает tcpdump у клиента.

ventilator ★★★ ()

Исходя из нашей болтовни в l-t я делаю предположение, что у тебя на клиенте pppd запускается не с теми опциями. Должны присутствовать опции defaultroute replacedefautlroute. Повторяю, это должно быть на клиенте.

Zenom ★★★ ()
Ответ на: комментарий от Zenom

РАБОТАЕТ

Будешь у нас напони чтобы я тебе пивом проставился ;^)

wlan ★★ ()
Ответ на: комментарий от xawari

так в начале вся копипаста настроек, просто я криво клиент настроил вот и не работало, если хочешь могу в жабберах подсказать

wlan666@jabber.ru

wlan ★★ ()
Ответ на: комментарий от wlan

спасибо, когда добуду $$$ на интернеты, обращусь %)

В мемориз.

xawari ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.