LINUX.ORG.RU
ФорумAdmin

Раздать интернет в удаленный офис


0

1

дано шлюз с 3 интерфейсами:

eth0 (локалка) 192.168.1.2 255.255.255.0

eth1 (внешняя линия) 79.122.x.x

eth2 (vpn канал до филиала) 172.18.103.2 255.255.255.248 gw 172.18.103.1

со стороны филиала несколько клиентов с адресами 172.18.102.2-25 gw 172.18.102.1

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface

79.122.213.28 * 255.255.255.252 U 0 0 0 eth1

172.18.103.0 * 255.255.255.248 U 0 0 0 eth2

172.18.102.0 * 255.255.255.0 U 0 0 0 eth2

192.168.1.0 * 255.255.255.0 U 0 0 0 eth0

default 79.122.213.29 0.0.0.0 UG 0 0 0 eth1

на данный момент локалка имеет доступ в инет, а удаленный офис нет.. как это можно починить?


Ответ на: комментарий от Snowdrift

пробовал, не помогло.. симптомы те же — пинги не идут, телнетом на 110 порт не конектицо, несмотря на iptables -I FORWARD -s 172.18.102.21 -o eth1 -p tcp --dport 110 -j ACCEPT

ZeleZ ()
Ответ на: комментарий от Snowdrift

локалка очень даже работает, а вот traceroute сделать не получицо — винда там

C:\Documents and Settings\Администратор>tracert ya.ru

Трассировка маршрута к ya.ru [93.158.134.203]
с максимальным числом прыжков 30:

  1     4 ms     3 ms     3 ms  172.18.102.1
  2  172.18.102.1  сообщает: Заданный узел недоступен.

Трассировка завершена.

ZeleZ ()

Скорее всего у тебя проблема с маршрутами.
Пропиши на шлюзе в филиале defaul route 172.18.103.2

kernelpanic ★★★★★ ()

Ты лучше расскажи нам кто такой 172.18.102.1 и как у него там всё настроено.
Есть ли интернет у этого узла?

Nao ★★★★★ ()

> 172.18.102.0 * 255.255.255.0 U 0 0 0 eth2
У вас там на 172.18.103.1 proxy-arp или vpn по типу tap?
Из центрального офиса пингуются машины в удалённом? Наоборот?

Nao ★★★★★ ()
Ответ на: комментарий от Nao

>Ты лучше расскажи нам кто такой 172.18.102.1 и как у него там всё настроено.

впн-канал арендуется у провайдера.. шлюз 172.18.103.1 со стороны офиса, 172.18.102.1 со стороны филиала..

Есть ли интернет у этого узла?

нету

ZeleZ ()
Ответ на: комментарий от Nao

>Из центрального офиса пингуются машины в удалённом? Наоборот?

да пингуются в обе стороны, но только после того как попросил прописать прова на 172.18.102.1 маршрут в сеть 192.168.1.0/24 пролегающий через сервер 172.18.103.2

ZeleZ ()

Насколько я понял провайдер предоставляет локальную сеть и адреса 172.18.102.1 и 172.18.103.1 и него. Либо напрягать дальше провайдера, либо настроить у себя проксик и зарядить через него филиал.

lvi ★★★★ ()
Ответ на: комментарий от kernelpanic

>Что именно не работает? DNS настроен?

не работают пинги на внешние адреса (google.ru, ya.ru etc), телнетом не цепляется 25 и 110 порта mail.ru, программа навигации также не видит удаленный сервер.. днс настроен, dct адреса резолвятся..

ZeleZ ()
Ответ на: комментарий от ZeleZ

Ну сейчас он тебе прокинул маршрут в твою 192.168... через 172.18.102.2 (так помнится), а надо чтобы все (маршрут поумолчанию) от филиала шло через 172.18.102.2.

Следующий вариант - одна сеть, сейчас 2 сети , подругому провайдер не может? У меня несколько внешних адресов в одном месте, а один в другом, и все в одной сети. Если бы у тебя был адрес из сети филиала, тогда его указываешь шлюзом на машинах в филиале и все дела.

Не беспокоя прова, можно еще поднять свой VPN, но насколько я понял машины в филиале равнозначные, если ставить на одну, естественно нужно чтобы она постоянно была включена, либо клиенты на каждую, тоже геморой. OpenVPN работает и на Винде.

Ну про проксик, первый мой линукс-сервер был настоящий Intel, достался как «жалко выкидывать». Это был 486 с 64 Мб и был там и сквид и почта даже с антивирем, не помню что еще, 40 человек не жаловались. Конечно прокси это не NAT, с каждым внешним сервисом нужно попрыгать, но интернет будет.

lvi ★★★★ ()
Ответ на: А sysctl.conf? от silversnake

>а в /etс/sysctl.conf net.ipv4.conf.default.forwarding=1

да, раскоментировано

провайдер прописал на шлюзе 172.18.102.1 маршрут, заворачивающий все пакеты на 172.18.103.2, но интернет так и не появился.. при пингах ошибка все та же — заданный узел недоступен..

ZeleZ ()
Ответ на: комментарий от ZeleZ

Заряди пинг в филиале на какой-нибудь внешний адрес и отслеживай у себя его прохождение tcpdamp'ом. Если провайдер правильно все сделал то в одну сторону должен видеть. Это все не исключает NAT для сети филиала(о чем говорили выше) и в цепи фарвард между интерфейсами чтоб запретов не было.

ping xxx.xxx.xxx.xxx

tcpdump -i ethY host xxx.xxx.xxx.xxx

примерно так, внешний IP не меняется, поэтому по нему легко можешь отследить что происходит на разных интерфейсах.

lvi ★★★★ ()
Ответ на: комментарий от lvi

спасибо за советы, решил пойти по пути наименьшего сопротивления — vpn пров явно что-то намудил с маршрутами, разбираться нету ни сил ни времени.. установил впн, настроил в 2 клика и теперь все летает.. еще раз благодарю за ценные советы, потом может будет время и таки допинаю прова, чтобы все робило как должно..

ZeleZ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.