NAT для VPN клиентов

А правила для FORWARD дядя будет писать?

Что за вопросы детские? Поднимаешь vpn, значит какой-никакой, а админ, пусть даже доморощенный. Раз админ, должен детские вопросы сам решать.

Для начала я бы заглянул на твоем месте в faq: http://fine.kalinovka.net/articles/hobby/lorFAQ/

Потом в iptables tutorial 1.19 (есть везде, включая opennet.ru)

Кстати, какой дятел тебе рассказал про sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o ppp0 -j MASQUERADE в таком виде?

У тебя не ppp0, а ppp0, ppp1, ppp2 и т.д. поэтому

/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 10.47.100.2

пакеты из vpn-овской сети перебрасываются на адрес локального интерфейса, уходящего к провайдеру (это на случай, если ошибся, потому как запятые надо ставить, а не думать, что тут телепаты).

и не забывайте про ip_nat_pptp/ip_conntrack_pptp (из POM)

небольшая поправка /sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 81.25.33.xx

Блин народ а не пашет так тоже .... =(
не понимаю почему все сделал как вы говорите + нашел рабочие конфиги ...
какая может быть загвоздка?

Загвоздка в том, что ты не знаешь как работать с iptables. Поэтому потрать пару дней и научись.

to jackill

да я понимаю что я не гуру
но и не ламак ... однако это все мега просто но однако и не работает
можно еще раз что должно быть в --to-source
если у меня в инет лежит такое чудо:
ppp1 Link encap:Point-to-Point Protocol
inet addr:81.25.33.16 P-t-P:81.25.33.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1490 Metric:1
RX packets:365271 errors:2000 dropped:0 overruns:0 frame:0
TX packets:193014 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:349386103 (333.2 Mb) TX bytes:9721997 (9.2 Mb)

вот это и надо раздать VPN'щикам на 10.10.10.0/24
я пишу
/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source=81.25.33.16

все верно? .... если да то почему не пашет ... он даже тупо не может DNS отправить .... кстате вот мои роуты

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
81.25.32.34 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
81.25.33.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
81.25.32.9 0.0.0.0 255.255.255.255 UH 0 0 0 ppp1
10.47.100.0 0.0.0.0 255.255.255.252 U 0 0 0 eth1
81.25.32.0 10.47.100.1 255.255.255.128 UG 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 81.25.33.2 0.0.0.0 UG 0 0 0 ppp1

как бы все вроде ок ....

p.s.
nameserver 81.25.32.34
nameserver 81.25.32.9

Народ плиз помогите

1. Постоянный ли у тебя адрес?
2. Может ли с самого сервера человек зайти в инет?
3. Да покажи же, наконец, свой сверхценный файрволл. Я бы тебе свой кинул, но ты там разбираться будешь хренову тонну времени.

Забыл, еще покажи вывод iptables -L

И не забудь выбрать preformatted text.

Ты бы его как default сделал бы, что ли.

>1. Постоянный ли у тебя адрес? 

Нет но я tosouce ставлю из скрипта ip-up тут проблем нет
соурс точно тот который я получаю ... я привел пример для именно такого соединения ... 

>2. Может ли с самого сервера человек зайти в инет? 

да как нефиг!
и если это соединение просто маскарадингм раздать прям в локал сеть то все работает но мне так нельзя! нужно только для VPN клиентов

>3. Да покажи же, наконец ....


вот!

[root@server root]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

пусто! я все покилял чтобы проверить работоспособность! он пуст!