Помогите с iptables+pptp

modprobe -l | grep pptp

обычно modprobe nf_nat_pptp должно помочь

Неясно зачем делать нат. Нужно же только маршрутизацию настроить.

NAT тебе зачем? Тебе FORWARD надо открывать, это раз. По каким портам работает эта «программа кассы»? Трафик tcpdump-ом смотрел?

Как тогда сделать маршрутизацию? все сегменты обоих сетей должны видеть друг друга. Программа не на одной машине, а на двух, вариант с пробросом портов последний. Желательно чтобы все работало как единая сеть.

Ещё раз, зачем вам правило:

-A POSTROUTING -o eth0 -j MASQUERADE

В локалке 192.168.2.0/24 есть маршрут до 192.168.1.0/24 или там шлюз по умолчанию совпадает с точкой терминирования pptp-тунеля?

Так минуточку какие еще все сегменты? В первом сообщении сегментов два 192.168.1.0 и 192.168.2.0. Пользователям, что сидят в сети 192.168.1.0 ты прописал маршрут в сеть 192.168.2.0 через 192.168.1.4 Допустим роутер 192.168.1.4 настроен верно и трафик в 192.168.2.0 беспрепятственно уходит, но пользователям из второй сетки я полагаю это подключенные по pptp, надо тоже знать через кого отправлять ответы в 192.168.1.0

[IMG]http://s003.radikal.ru/i203/1206/25/c15d5ce465adt.jpg[/IMG] По ссылке Схема сети (если здесь не отобразится). Почему построено так, а не подругому не спрашивайте, делал не я, а заказчик переделывать ничего не хочет.

По шагам: 1. Устанавливается VPN соединение, после этого с 192.168.1.4 видно локалку 192.168.2.0, но пользователи сети 192.168.1.0 эту сеть не видят, ровно как и наоборот. 2. Прописываем маршруты на пользователях 192.168.1.0: route add 192.168.2.0 mask 255.255.255.0 192.168.1.4 -p. Теперь пользователи знают через что ходить во 2-ю подсеть, но по прежнему ее не видят, т.к. 192.168.1.4 не сном не духом об этих телодвижениях. 3. Прописываем на 192.168.1.4: -A POSTROUTING -o ppp0 -j MASQUERADE. Теперь пользователи сети 192.168.1.0 видят и щупают сеть 192.168.2.0, но не наоборот. 4. Прописываем на 192.168.2.1: rout add 192.168.1.0 mask 255.255.255.0 192.168.2.226 if 192.168.2.225. Пользователи 192.168.2.0 по прежнему нихрена не зрят, т.к. 192.168.1.4 не в курсах что из ppp0 нужно когото впускать в eth0 5. Прописываем карнавал на 192.168.1.4: -A POSTROUTING -o eth0 -j MASQUERADE 6. Теперь пользователи обоих сетей друг друга видят и щупают по всем портам, но одна загвоздка, не робит программа на кассе (client 192.168.1.20), которая должна синхронизироваться с сервером (192.168.2.50), хотя они друг друга прекрасно видят, пингуют, и заходят по радмину с обоих сторон. Получается при синхронизации клиент отсылает данные, а получить не может. Собсвенно вопрос, как это разрулить без маскарада?? так как все подозрение на него, не зря же он IP-шники прячет!

Глаза сломал пока прочитал. Отформатировал бы списочек абзацами по пунктам что ли. Небольшой ликбез. У ip пакета есть два заголовка с адресами источник и назначение. Сам пакет не знает как ему найти дорогу, маршрутизатор в простейшем случае ищет, маршрут, такой что сеть назначения совпадает с адресом назначения в пакете и отправляет пакет на интерфейс привязанный к этому маршруту, следующему роутеру, тот следующему и так до получателя. Такая схема называется next-hop Фаервол напрямую не участвует в выборе маршрута. Правило

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

tcpdump -ni ppp0