Всем привет!
Очень нужна помощь!
Есть сеть удаленного филиала. Есть сервер VPN в головном офисе. Конфигурация такая:
client1-----| |----other_client1
| |
client2-----|--gate2--inet--gate1-|----other_client2
| |
client3-----| |----other_client3
У клиентов адреса 192.168.3.0/24
VPN-сервер (pptpd) дает адреса 192.168.2.0/24
У gate1 внешний адрес 10.0.0.1 (к примеру).
у gate2 на внутреннем интерфейсе адрес 192.168.3.198, на внешнем 172.15.0.1
На gate1 установлен pptpd.
На обоих гейтах пондят маскарад. Из инета с VPN-сервером соединение проходит отлично. Из внутренней сети филиала не проходит. Судя по всему iptables чего-то непропускает.
Подскажите, чего нужно делать?
# Save current firewall rules on stop.
# Value: yes|no, default: no
#IPTABLES_SAVE_ON_STOP="no"
# Save current firewall rules on restart.
# Value: yes|no, default: no
#IPTABLES_SAVE_ON_RESTART="no"
# Save (and restore) rule counter.
# Value: yes|no, default: no
#IPTABLES_SAVE_COUNTER="no"
# Numeric status output
# Value: yes|no, default: no
#IPTABLES_STATUS_NUMERIC="no"
Сейчас можно наблюдать следующее:
Одно-два соединения из внутренней сети с VPN-сервыером проходят. Потом нивкакую. Или с одного компа соединение идет, и с других нет. И вот такая плавающая фигня второй день... В общем, даже не знаю что сказать...
А поставить pptpclient на гейт2 нельзя, он сконнектиться с gate1 и на уровне iptables раздашь разрешения для клиентов, на кой хрен каждый клиентский комп подключать?
*filter
:INPUT ACCEPT [605369:324264773]
:FORWARD ACCEPT [200590:58729941]
:OUTPUT ACCEPT [521248:289425515]
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -j ACCEPT
-A INPUT -p tcp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
iptables все пропускает, тут точно все нормально. Можно поменять цепочки на:
-A FORWARD -p all -j ACCEPT # (чтобы добавить udp, но это наврядли поможет :) ).
-A INPUT -p all -j ACCEPT
-A OUTPUT -p all -j ACCEPT
Тут еще много работать над безопасностью.