LINUX.ORG.RU

NAT для VPN клиентов


0

0

Народ такая ситуация есть есть eth0 - 192.168.1.100 это локалка eth1 - 10.47.100.2 это локалку в прову ppp0 - это VPN к прову (81.25.33.ХХХ - клиенский ип получается, 81.25.33.2 - серверный ип)

на этой машине где есть все это поднят VPN Server (PPTP) к нему конектятся юзера из eth0 и заседают на pppX и имеют ИП 10.10.10.0/24 диапазон

так вот суть! Как Этим 10.10.10.0/24 раздать инет маскарандигом от ppp0

команды типа

echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o ppp0 -j MASQUERADE

ну ничем не помогают ... срать этот нат хотел на то что я ему сказал как мне им раздать инет???

или я что-то не понимаю?

Спасибо

anonymous

Re: NAT для VPN клиентов

А правила для FORWARD дядя будет писать?

Что за вопросы детские? Поднимаешь vpn, значит какой-никакой, а админ, пусть даже доморощенный. Раз админ, должен детские вопросы сам решать.

Для начала я бы заглянул на твоем месте в faq: http://fine.kalinovka.net/articles/hobby/lorFAQ/

Потом в iptables tutorial 1.19 (есть везде, включая opennet.ru)

jackill ★★★★★ ()

Re: NAT для VPN клиентов

Кстати, какой дятел тебе рассказал про sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o ppp0 -j MASQUERADE в таком виде?

У тебя не ppp0, а ppp0, ppp1, ppp2 и т.д. поэтому

/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 10.47.100.2

пакеты из vpn-овской сети перебрасываются на адрес локального интерфейса, уходящего к провайдеру (это на случай, если ошибся, потому как запятые надо ставить, а не думать, что тут телепаты).

jackill ★★★★★ ()

Re: NAT для VPN клиентов

и не забывайте про ip_nat_pptp/ip_conntrack_pptp (из POM)

BigBug ()
Ответ на: Re: Re: NAT для VPN клиентов от x029ah

Re: Re: Re: NAT для VPN клиентов

Блин народ а не пашет так тоже .... =(
не понимаю почему все сделал как вы говорите + нашел рабочие конфиги ...
какая может быть загвоздка?

anonymous ()
Ответ на: Re: Re: Re: Re: NAT для VPN клиентов от jackill

Re: Re: Re: Re: Re: NAT для VPN клиентов

to jackill

да я понимаю что я не гуру
но и не ламак ... однако это все мега просто но однако и не работает
можно еще раз что должно быть в --to-source
если у меня в инет лежит такое чудо:
ppp1 Link encap:Point-to-Point Protocol
inet addr:81.25.33.16 P-t-P:81.25.33.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1490 Metric:1
RX packets:365271 errors:2000 dropped:0 overruns:0 frame:0
TX packets:193014 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:349386103 (333.2 Mb) TX bytes:9721997 (9.2 Mb)

вот это и надо раздать VPN'щикам на 10.10.10.0/24
я пишу
/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source=81.25.33.16

все верно? .... если да то почему не пашет ... он даже тупо не может DNS отправить .... кстате вот мои роуты

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
81.25.32.34 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
81.25.33.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
81.25.32.9 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
10.47.100.0 0.0.0.0 255.255.255.252 U 0 0 0 eth1
81.25.32.0 10.47.100.1 255.255.255.128 UG 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 81.25.33.2 0.0.0.0 UG 0 0 0 ppp1

как бы все вроде ок ....

p.s.
nameserver 81.25.32.34
nameserver 81.25.32.9

Народ плиз помогите

anonymous ()
Ответ на: Re: Re: Re: Re: Re: NAT для VPN клиентов от anonymous

Re: Re: Re: Re: Re: Re: NAT для VPN клиентов

1. Постоянный ли у тебя адрес?
2. Может ли с самого сервера человек зайти в инет?
3. Да покажи же, наконец, свой сверхценный файрволл. Я бы тебе свой кинул, но ты там разбираться будешь хренову тонну времени.

jackill ★★★★★ ()
Ответ на: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов от jackill

Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов

>1. Постоянный ли у тебя адрес? 

Нет но я tosouce ставлю из скрипта ip-up тут проблем нет
соурс точно тот который я получаю ... я привел пример для именно такого соединения ... 

>2. Может ли с самого сервера человек зайти в инет? 

да как нефиг!
и если это соединение просто маскарадингм раздать прям в локал сеть то все работает но мне так нельзя! нужно только для VPN клиентов

>3. Да покажи же, наконец ....


вот!

[root@server root]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

пусто! я все покилял чтобы проверить работоспособность! он пуст!

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.