LINUX.ORG.RU
решено ФорумAdmin

раздать инет по впн


0

1

Алоха всем
Схема такая : Стоит прокси сервер (Centos+Squid),на нём поднят VPN сервер (pptp).
И есть филиал компании который должен подключится к этому VPN серверу и получать интернет по правилам squid-а.
Поставил в филиале centos через который они в инет заходят,и настроил vpn-клиент.
route настроен, компьютеры одной сети пингуют другие но вот инет филиальчик не получает.
Думаю в iptables надо прописать строчки, но не знаю какие.

Приведите нормальное полное описание подключения - с IP адресами, например так:
Подсеть компании - 192.168.0.0/24
Подсеть филиала - 192.168.1.0/24
Линк PPtP - на Centos 192.168.2.1, в филиале 192.168.2.6
Сквид слушает на 0.0.0.0, порт 3128

и тогда вы сможете получить ответ например такого содержания:

«Необходимо на компьюетере филила в браузере указать прокси-сервером 192.168.2.1, порт 3128. Предварительно проверить, что можно подключаться к сквиду из филиала (например, сначала ping 192.168.2.1, затем telnet 192.168.2.1 3128). Если подключиться не удается, то привести вывод iptables -L -n -v, если подключиться удается - проверять настройки squid.»

Nastishka ★★★★★
()
Ответ на: комментарий от Nastishka

подсеть компании - 192.168.234.0/23
подсеть филиала - 192.168.1.0/24
squid - transparent

iptables -L -n -v филиала:


Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1929 304K RH-Firewall-1-INPUT all  — * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4207 1222K RH-Firewall-1-INPUT all  — * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1795 packets, 192K bytes)
pkts bytes target prot opt in out source destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all  — lo * 0.0.0.0/0 0.0.0.0/0
15 932 ACCEPT icmp — * * 0.0.0.0/0 0.0.0.0/0 icmp type 255
0 0 ACCEPT esp  — * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT ah  — * * 0.0.0.0/0 0.0.0.0/0
37 8587 ACCEPT udp  — * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
0 0 ACCEPT udp  — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:631
0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
5455 1474K ACCEPT all  — * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
3 212 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
28 1544 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1723
6 540 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:3389
0 0 ACCEPT udp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:3389
0 0 ACCEPT udp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:5623
0 0 ACCEPT tcp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
196 10891 ACCEPT udp  — * * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
396 29152 REJECT all  — * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

alikhantara
() автор топика
Ответ на: комментарий от Nastishka

[root@localhost ~]# route -n

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
ip_adress_vpn gw_servera 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
85.XXX.XX.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.234.0 0.0.0.0 255.255.254.0 U 0 0 0 ppp0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 gw_servera 0.0.0.0 UG 0 0 0 eth0


root@localhost ~]# iptables -L -n -v -t nat
Chain PREROUTING (policy ACCEPT 1465 packets, 131K bytes)
pkts bytes target prot opt in out source destination
1 125 DNAT tcp  — eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3389 to:192.168.1.2
0 0 DNAT udp  — eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3389 to:192.168.1.2

Chain POSTROUTING (policy ACCEPT 232 packets, 15024 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all  — * * 0.0.0.0/0 0.0.0.0/0 MARK match 0x9
9 540 MASQUERADE all  — * * 192.168.0.0/24 0.0.0.0/0


Chain OUTPUT (policy ACCEPT 175 packets, 11824 bytes)
pkts bytes target prot opt in out source destination

alikhantara
() автор топика
Ответ на: комментарий от alikhantara


eth0 Link encap:Ethernet HWaddr 00:10:B5:CE:52:A4
inet addr:XXX.XX.XX.100 Bcast:XXX.XXX.XXX.255 Mask:255.255.255.0
inet6 addr: fe80::210:b5ff:fece:52a4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:647978 errors:0 dropped:0 overruns:0 frame:0
TX packets:81942 errors:0 dropped:0 overruns:1 carrier:0
collisions:0 txqueuelen:1000
RX bytes:53136816 (50.6 MiB) TX bytes:17911783 (17.0 MiB)
Interrupt:66 Base address:0xc000

eth1 Link encap:Ethernet HWaddr 00:10:B5:D5:7B:7F
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::210:b5ff:fed5:7b7f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:21649 errors:0 dropped:0 overruns:0 frame:0
TX packets:16183 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10923777 (10.4 MiB) TX bytes:3414411 (3.2 MiB)
Interrupt:185 Base address:0xc400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2984 errors:0 dropped:0 overruns:0 frame:0
TX packets:2984 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3416964 (3.2 MiB) TX bytes:3416964 (3.2 MiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.5 P-t-P:192.168.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:45 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:29370 (28.6 KiB) TX bytes:4621 (4.5 KiB)

alikhantara
() автор топика
Ответ на: комментарий от alikhantara

В случае прозрачного прокси, делаются настройки iptables в таблице nat, см.также http://tldp.org/HOWTO/TransparentProxy-5.html

В вашем случае, скорей всего, необходимо сказать в iptables примерно следующее:
iptables -A PREROUTING -t nat -p tcp --dport 80 -i ppp0 -s 192.168.234.0/24 -j REDIRECT --to-port 3128

Nastishka ★★★★★
()
Ответ на: комментарий от Nastishka

Уважаемая Nastishka
Решил проблему командой /sbin/service iptables stop
Остановка iptables исправила положение,но мне хочется чтобы он работал.
Может ли это значить что при включённом iptables какой-то порт закрыт ?

alikhantara
() автор топика
Ответ на: комментарий от alikhantara

> Решил проблему командой /sbin/service iptables stop

Это означает, что squid у вас не в прозрачном режиме, а в самом что ни на есть режиме обычного прокси уровня приложения.

Может ли это значить что при включённом iptables какой-то порт закрыт?

Если у клиента в браузере указан прокси-сервер, и после отключения iptables все начинает работать - то да, это значит что нужный порт заблокирован. В вашем случае, необходимо разрешить подключения на порт на котором слушает squid - по умолчанию, порт 3128.

Nastishka ★★★★★
()
Ответ на: комментарий от Nastishka

я понимаю что вы хотите сказать. объясню :
Порт сквида я поменял на 5623. И даже прописав его в браузере (при включённом iptables )у меня ничего не работает.
Но стоит отключить iptables и всё чики-пуки.

alikhantara
() автор топика
Ответ на: комментарий от Pinkbyte

Меня не устраивает отключённый iptables.
В данный моммент усердно пытаюсь настроить его =)

alikhantara
() автор топика
Ответ на: комментарий от alikhantara

> Порт сквида я поменял на 5623

Посмотрите правила iptable, которые вы сами привели - у вас разрешен протокол UDP порт 5623. А необходимо разрешить TCP.

Nastishka ★★★★★
()
Ответ на: комментарий от alikhantara

Да на здоровье. Только в следующий раз вопросы сразу правильно задавайте, со всеми необходимыми данными, которые уже сразу содержат 75% ответа :-)

Nastishka ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin