LINUX.ORG.RU
ФорумAdmin

VPN + NAT (с нормальным форматированием)


0

0

Всем привет!
Очень нужна помощь!
Есть сеть удаленного филиала. Есть сервер VPN в головном офисе. Конфигурация такая:
client1-----|                     |----other_client1
            |                     |
client2-----|--gate2--inet--gate1-|----other_client2
            |                     |
client3-----|                     |----other_client3

У клиентов адреса 192.168.3.0/24
VPN-сервер (pptpd) дает адреса 192.168.2.0/24 
У gate1 внешний адрес 10.0.0.1 (к примеру). 
у gate2 на внутреннем интерфейсе адрес 192.168.3.198, на внешнем 172.15.0.1 
На gate1 установлен pptpd. 
На обоих гейтах пондят маскарад. Из инета с VPN-сервером соединение проходит отлично. Из внутренней сети филиала не проходит. Судя по всему iptables чего-то непропускает.
Подскажите, чего нужно делать?

Ответ на: комментарий от anonymous

# Generated by iptables-save v1.2.8 on Wed Sep 29 09:33:24 2004 *nat :PREROUTING ACCEPT [99293:9571550] :POSTROUTING ACCEPT [153:14199] :OUTPUT ACCEPT [28059:1700500] -A POSTROUTING -o eth0 -j SNAT --to-source 172.15.0.1 COMMIT # Completed on Wed Sep 29 09:33:24 2004 # Generated by iptables-save v1.2.8 on Wed Sep 29 09:33:24 2004 *filter :INPUT ACCEPT [605369:324264773] :FORWARD ACCEPT [200590:58729941] :OUTPUT ACCEPT [521248:289425515] -A FORWARD -p icmp -j ACCEPT -A FORWARD -p tcp -j ACCEPT -A INPUT -p tcp -j ACCEPT -A INPUT -p icmp -j ACCEPT -A OUTPUT -p tcp -j ACCEPT -A OUTPUT -p icmp -j ACCEPT COMMIT # Completed on Wed Sep 29 09:33:24 2004

iptables-config: # Additional iptables modules (nat helper) # Default: -empty- #IPTABLES_MODULES="ip_nat_ftp"

# Save current firewall rules on stop. # Value: yes|no, default: no #IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart. # Value: yes|no, default: no #IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule counter. # Value: yes|no, default: no #IPTABLES_SAVE_COUNTER="no"

# Numeric status output # Value: yes|no, default: no #IPTABLES_STATUS_NUMERIC="no"

Сейчас можно наблюдать следующее: Одно-два соединения из внутренней сети с VPN-сервыером проходят. Потом нивкакую. Или с одного компа соединение идет, и с других нет. И вот такая плавающая фигня второй день... В общем, даже не знаю что сказать...

Gladi
() автор топика
Ответ на: комментарий от Gladi

А поставить pptpclient на гейт2 нельзя, он сконнектиться с gate1 и на уровне iptables раздашь разрешения для клиентов, на кой хрен каждый клиентский комп подключать?

anonymous
()
Ответ на: комментарий от Gladi

*nat :PREROUTING ACCEPT [99293:9571550] :POSTROUTING ACCEPT [153:14199] :OUTPUT ACCEPT [28059:1700500] -A POSTROUTING -o eth0 -j SNAT --to-source 172.15.0.1 COMMIT

*filter :INPUT ACCEPT [605369:324264773] :FORWARD ACCEPT [200590:58729941] :OUTPUT ACCEPT [521248:289425515] -A FORWARD -p icmp -j ACCEPT -A FORWARD -p tcp -j ACCEPT -A INPUT -p tcp -j ACCEPT -A INPUT -p icmp -j ACCEPT -A OUTPUT -p tcp -j ACCEPT -A OUTPUT -p icmp -j ACCEPT

iptables все пропускает, тут точно все нормально. Можно поменять цепочки на: -A FORWARD -p all -j ACCEPT # (чтобы добавить udp, но это наврядли поможет :) ). -A INPUT -p all -j ACCEPT -A OUTPUT -p all -j ACCEPT Тут еще много работать над безопасностью.

Копай в другом месте

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.