LINUX.ORG.RU

NAT для VPN клиентов 2


0

0

ну народ помогите =)

http://www.linux.org.ru/view-message.jsp?msgid=698863&back=view-group.jsp%3F
group%3D126%26offset%3D30

вот тут начали обсуждать повторюсь 

Народ такая ситуация есть есть 
eth0 - это локалка (192.168.1.0/24 ; 192.168.1.100 - ип самого сервера)
eth1 - это локалку в прову (незнаю как там у прова мы имеем 10.47.100.2)
ppp1 - это VPN к прову (81.25.33.ХХХ - клиенский ип получается при дозвоне по VPN, 81.25.33.2 - серверный ип VPN прода) 

на этой машине где есть все это поднят VPN Server (PPTP) 
к нему конектятся юзера из eth0 и заседают на pppX и имеют ИП 10.10.10.0/24 диапазон 

так вот суть! Как Этим 10.10.10.0/24 раздать инет маскарандигом от ppp0 

команды типа 

echo 1 > /proc/sys/net/ipv4/ip_forward 
/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o ppp1 -j MASQUERADE 

ну ничем не помогают ... срать этот нат хотел на то что я 
ему сказал как мне им раздать инет??? 

Хотя есть так же маскарадить прямо в сеть eth0 
(/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE ) то все работает отлично! но мне нельзя давать юзерам
нет в локалку ... а только ПО VPN


или я что-то не понимаю? 

Спасибо


ЗЫ
=====================================
ситуация с роутами выглядит так

[root@server rc3.d]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2     0.0.0.0         255.255.255.255 UH    0      0        0 ppp2 
^^^^^^^^^^^
это если например подрублен какой-нить клиент по VPN
81.25.32.34     0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
81.25.33.2      0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
81.25.32.9      0.0.0.0         255.255.255.255 UH    0      0        0 ppp1
10.47.100.0     0.0.0.0         255.255.255.252 U     0      0        0 eth1
81.25.32.0      10.47.100.1     255.255.255.128 UG    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         81.25.33.2      0.0.0.0         UG    0      0        0 ppp1
=====================================
сам файервол пуст 

[root@server rc3.d]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (0 references)
target     prot opt source               destination

только в нате висит то что я написал выше....
anonymous

Re: NAT для VPN клиентов 2

ЕЩЕ добавлю вот 

ppp1      Link encap:Point-to-Point Protocol
          inet addr:81.25.33.40  P-t-P:81.25.33.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1490  Metric:1
          RX packets:575 errors:0 dropped:0 overruns:0 frame:0
          TX packets:711 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:212858 (207.8 Kb)  TX bytes:143037 (139.6 Kb)


этот самый ppp1 

/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 81.25.33.40

таким образом на VPN слиент инет не поступает всеравно! 

ну почему? 

я честно не дурак .. и это все верно должно быть в чем 
могут быть траблы???


anonymous ()
Ответ на: Re: NAT для VPN клиентов 2 от anonymous

Re: Re: NAT для VPN клиентов 2

Может, загвоздка у самих юзеров? tcpdump'ом смотрел траффик на интерфейсах?

anonymous ()
Ответ на: Re: Re: Re: Re: NAT для VPN клиентов 2 от anonymous

Re: Re: Re: Re: Re: NAT для VPN клиентов 2

Ну если присоединен клиент то на соединение клиента ppp2 например и на ppp1 - инет нет вообще пакетов! странно

anonymous ()

Re: NAT для VPN клиентов 2

Вот тебе мой файрволл, сиди и разбирайся.

-------------------------
#!/bin/sh

#############################################################################
#                                                                           #
# Setting up global variables                                           #
#                                                                           #
#############################################################################

IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe

WAN=eth1
WAN_IP=192.168.0.209

#Before start server don't forget to change ip range in all LAN!!!


LAN=eth0
LAN_IP=192.168.0.211

LOCAL_NET=192.168.0.0/24
LOCAL_INET=192.168.1.0/24

UNIVERSE=0.0.0.0/0
INET_BROADCAST=172.16.255.255
LOCAL=127.0.0.1/32

# Probing needful modules

$MODPROBE ip_conntrack
$MODPROBE ip_tables
$MODPROBE iptable_filter
$MODPROBE iptable_filter
$MODPROBE iptable_mangle
$MODPROBE iptable_nat
$MODPROBE ipt_LOG
$MODPROBE ipt_limit
$MODPROBE ipt_MASQUERADE
$MODPROBE ipt_REJECT
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp


#############################################################################
#                                                                           #
# Clearing all chaines and stop all traffic                                 #
#                                                                           #
#############################################################################

$IPTABLES -X
$IPTABLES -F FORWARD
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F POSTROUTING

$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP

#############################################################################
#                                                                           #
# Accepted ports and protocols from WAN interface to server                 #
#                                                                           #
#############################################################################

echo "Bring up filters on INPUT and OUTPUT chains"

# Redirect web traffic to squid except 8081 - this one in use by mathopd.

$IPTABLES -A INPUT -s $LOCAL -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -s $LOCAL -p tcp --sport 3128 -j ACCEPT
$IPTABLES -A INPUT -s $LOCAL_INET -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -s $LOCAL_INET -p udp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -s $LOCAL_INET -p tcp -m multiport --dport 80,81,82,83,88,443,8000,8001,8002,8080 -j

$IPTABLES -A INPUT -p tcp -m multiport --dport 42,53 -j ACCEPT
$IPTABLES -A INPUT -p udp -m multiport --dport 42,53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m multiport --dport 42,53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m multiport --dport 42,53 -j ACCEPT

echo "Permit local ingoing traffic from localhost to localhost"
$IPTABLES -A INPUT -s $LOCAL -d $LOCAL -j ACCEPT
$IPTABLES -A OUTPUT -s $LOCAL -d $LOCAL -j ACCEPT

echo "Open port for pptp"
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET --dport 1723 -j ACCEPT

#echo "Open internal mailer ports"
#$IPTABLES -A INPUT -i $LAN -p tcp -s $LOCAL_NET --dport 110 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN -p udp -s $LOCAL_NET --dport 110 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN -p tcp -s $LOCAL_NET --dport 25 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN -p udp -s $LOCAL_NET --dport 25 -j ACCEPT

echo "Open SSH ports on LAN interface"
$IPTABLES -A INPUT -i $LAN -p tcp -s $LOCAL_NET --dport 22 -j ACCEPT

#echo "Open internal ftp server ports"
#$IPTABLES -A INPUT -i $LAN -p tcp -s $LOCAL_NET --dport 20 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN -p tcp -s $LOCAL_NET --dport 21 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN -p udp -s $LOCAL_NET --dport 20 -j ACCEPT
#$IPTABLES -A INPUT -i $LAN -p udp -s $LOCAL_NET --dport 21 -j ACCEPT

#echo "Open external ftp server ports"
$IPTABLES -A OUTPUT -p tcp -m tcp -o $WAN --dport 20:21 -j ACCEPT

echo "Open port for pptp"
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET --dport 1723 -j ACCEPT

echo "Open gre protocol for pptp"
$IPTABLES -A INPUT -p 47 -j ACCEPT
$IPTABLES -A OUTPUT -p 47 -j ACCEPT

echo "Enable established/related rules"
$IPTABLES -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Open web ports"
$IPTABLES -A OUTPUT -p tcp -m multiport --dport 80,81,82,83,88,443,8000,8001,8002,8080 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m multiport --sport 80,81,82,83,88,443,8000,8001,8002,8080 -j ACCEPT

#$IPTABLES -A INPUT -j bad_tcp_packets
#$IPTABLES -A OUTPUT -j bad_tcp_packets

##########################################################################
#                                                                        #
# FORWARD chain                                                          #
#                                                                        #
##########################################################################

$IPTABLES -A FORWARD -p tcp --dport 445 -j DROP

echo "Start forwarding DNS/nameserver"
$IPTABLES -A FORWARD -p tcp --dport 42 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 42 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT

echo "Prohibite traffic exchange between vpn-clients"
$IPTABLES -A FORWARD -s $LOCAL_INET -d $LOCAL_INET -j DROP

echo "Enable established,related rules"
$IPTABLES -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "Start SSL & SSH forwarding"
$IPTABLES -A FORWARD -p tcp --dport 22 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 563 -j ACCEPT

#echo "Start ftp forwarding"
#$IPTABLES -A FORWARD -s $LOCAL_INET -p tcp -m tcp --dport 20:21 -j ACCEPT

echo "Start mail forwarding"
$IPTABLES -A FORWARD -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 143 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 465 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 995 -j ACCEPT

echo "Postrouting..."
$IPTABLES -t nat -A POSTROUTING -s $LOCAL_INET \
-j SNAT --to-source $WAN_IP

----------------------

Каждый клиент получает свои правила после авторизации благодаря правилам в ip-up.local (пример на двух пользователей):

jackill ★★★★★ ()
Ответ на: Re: NAT для VPN клиентов 2 от jackill

Re: Re: NAT для VPN клиентов 2

#!/bin/bash
#############################################################################
#                                                                           #
# Setting up the global variables                                           #
#                                                                           #
#############################################################################

IPTABLES=/sbin/iptables

WAN=eth1
WAN_IP=192.168.0.209
LOCAL_INET=192.168.1.0/24
LOCAL_NET=192.168.0.0/24
UNIVERSE=0.0.0.0/0


###########################################################################
#                                                                         #
#      Accepted ports and protocols                                       #
#      Check user group and select appropreate rules                      #
#                                                                         #
###########################################################################

#User with squid, icq and direct ftp.

if [ "$PEERNAME" == "Andrey" ]; then

$IPTABLES -t nat -A PREROUTING -p tcp \
-s $IPREMOTE -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p udp \
-s $IPREMOTE -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -j REDIRECT --to-port 3128

$IPTABLES -A FORWARD -p tcp --dport 5190:5193 -s $IPREMOTE -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 5190:5193 -s $IPREMOTE -j ACCEPT

$IPTABLES -A FORWARD -p tcp -m tcp --dport 20:21 -s $IPREMOTE -j ACCEPT

fi

#About full access to admin (direct http/ftp, icq)

if [ "$PEERNAME" == "admin" ]; then

$IPTABLES -A FORWARD -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -s $IPREMOTE -j ACCEPT
$IPTABLES -A FORWARD -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -s $IPREMOTE -j ACCEPT

$IPTABLES -A FORWARD -p tcp --dport 5190:5193 -s $IPREMOTE -j ACCEPT
$IPTABLES -A FORWARD -p udp --dport 5190:5193 -s $IPREMOTE -j ACCEPT

$IPTABLES -A FORWARD -p tcp -m tcp --dport 20:21 -s $IPREMOTE -j
 ACCEPT

И убираются эти правила скриптом ip-down.local:

#!/bin/bash
#############################################################################
#                                                                           #
# Setting up the global variables                                           #
#                                                                           #
#############################################################################

IPTABLES=/sbin/iptables

WAN=eth1
WAN_IP=192.168.0.209
LOCAL_INET=192.168.1.0/24
UNIVERSE=0.0.0.0/0


###########################################################################
#                                                                         #
#      Accepted ports and protocols                                       #
#      Check user group and select appropreate rules                      #
#                                                                         #
###########################################################################

if [ "$PEERNAME" == "Andrey" ]; then

$IPTABLES -t nat -D PREROUTING -p tcp \
-s $IPREMOTE -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -j REDIRECT --to-port 3128
$IPTABLES -t nat -D PREROUTING -p udp \
-s $IPREMOTE -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -j REDIRECT --to-port 3128
$IPTABLES -D FORWARD -p tcp --dport 5190:5193 -s $IPREMOTE -j ACCEPT
$IPTABLES -D FORWARD -p udp --dport 5190:5193 -s $IPREMOTE -j ACCEPT

$IPTABLES -D FORWARD -p tcp -m tcp --dport 20:21 -s $IPREMOTE -j ACCEPT

fi

if [ "$PEERNAME" == "admin" ]; then

$IPTABLES -D FORWARD -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -s $IPREMOTE -j ACCEPT
$IPTABLES -D FORWARD -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080 -s $IPREMOTE -j ACCEPT

$IPTABLES -D FORWARD -p tcp --dport 5190:5193 -s $IPREMOTE -j ACCEPT
$IPTABLES -D FORWARD -p udp --dport 5190:5193 -s $IPREMOTE -j ACCEPT

$IPTABLES -D FORWARD -p tcp -m tcp --dport 20:21 -s $IPREMOTE -j ACCEPT

fi

--------------


Можно было вместо этого дать права всем в основном скрипте, но для моих целей это было неудобно (а дополнять таблицу mysql и дергать правила или группы правил оттуда - лениво).

jackill ★★★★★ ()
Ответ на: Re: NAT для VPN клиентов 2 от jackill

Re: Re: NAT для VPN клиентов 2

LAN=eth0 - локальная сетка, где сидят клиенты
LAN_IP=192.168.0.211 ip-адрес eth0

LOCAL_NET=192.168.0.0/24 метрика локальной сети
LOCAL_INET=192.168.1.0/24 метрика vpn-сети (адреса, раздаваемые радиусом)

Вот это надо поменять в скрипте - я его тут курочить начал (а то на более другую сеть надо другой диапазон):

INET_BROADCAST=172.16.255.255 меняем на (вроде как ;)

INET_BROADCAST=192.168.255.255

Пишутся они в умных книжках - если есть желание, зайди и посмотри какой бродкаст полагается на эту локальную сетку.

На виртуальный адрес vpn-сервера мы хотели чихать - он нам не нужен.

jackill ★★★★★ ()
Ответ на: Re: Re: NAT для VPN клиентов 2 от jackill

Re: Re: Re: NAT для VPN клиентов 2

Чуть не забыл. 192.168.0.209 - это адрес eth1. Карточка, идущая к провайдеру (да, вот так неприятно у меня вышло - одинаковые подсети, но роутом все полечилось и заработало).

jackill ★★★★★ ()
Ответ на: Re: Re: Re: NAT для VPN клиентов 2 от jackill

Re: Re: Re: Re: NAT для VPN клиентов 2

to jackill

большое спасибо!

почитаю разберусь ... если возникнут вопросы можно тебе на какое-нить мыло черкануть? буду признателен

anonymous ()
Ответ на: Re: Re: Re: Re: NAT для VPN клиентов 2 от anonymous

Re: Re: Re: Re: Re: NAT для VPN клиентов 2

Я тут более другой вопрос читал и мысль появилась - у тебя машинка с линухами, как я понимаю, работает (раз все открыто).

На клиентах в свойствах их vpn-соединения прописан виртуальный (vpn) адрес сервера как шлюз (по идее должен сам прописываться)? А там же прописаны адреса dns-серверов провайдера?

Если это винда, то в браузере должно по умолчанию быть vpn соединение.

P.S. Да, на моем firewall'е пинг у тебя не пройдет.

jackill ★★★★★ ()
Ответ на: Re: Re: Re: Re: Re: NAT для VPN клиентов 2 от jackill

Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2

в VPN на клиентах (виндах) все создано по умолчанию только дописаны ДНС прова

а при дозвоне в VPN серваку у них в default route прописыватся VPN соединение ... как я понимаю что-то типа 

C:\Documents and Settings\LobsterX>route PRINT
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 02 44 53 e1 fd ...... SURECOM EP-320X-R 100/10/M PCI Adapter - Packet
Scheduler Miniport
0x40004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x50005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.10.10.2      10.10.10.2       1
          0.0.0.0          0.0.0.0   82.209.240.199  82.209.240.199       2
          0.0.0.0          0.0.0.0    192.168.1.100     192.168.1.9       22
       10.10.10.2  255.255.255.255        127.0.0.1       127.0.0.1       50
   10.255.255.255  255.255.255.255       10.10.10.2      10.10.10.2       50
   82.209.240.199  255.255.255.255        127.0.0.1       127.0.0.1       50
   82.209.240.249  255.255.255.255   82.209.240.199  82.209.240.199       1
   82.255.255.255  255.255.255.255   82.209.240.199  82.209.240.199       50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.9     192.168.1.9       20
      192.168.1.9  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.100  255.255.255.255      192.168.1.9     192.168.1.9       20
    192.168.1.255  255.255.255.255      192.168.1.9     192.168.1.9       20
      217.21.50.1  255.255.255.255    192.168.1.100     192.168.1.9       20
     217.76.32.61  255.255.255.255    192.168.1.100     192.168.1.9       20
        224.0.0.0        240.0.0.0      192.168.1.9     192.168.1.9       20
        224.0.0.0        240.0.0.0       10.10.10.2      10.10.10.2       1
        224.0.0.0        240.0.0.0   82.209.240.199  82.209.240.199       2
  255.255.255.255  255.255.255.255      192.168.1.9     192.168.1.9       1
Default Gateway:        10.10.10.2
===========================================================================
Persistent Routes:
  None


этому клиенту VPN сервер выдает статический адрес ... 10.10.10.2

anonymous ()
Ответ на: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2 от anonymous

Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2

Вообще я уже запутался в твоих интерфейсах. Что-то лишнее.

eth0 - это локалка (192.168.1.0/24 ; 192.168.1.100 - ип самого сервера). В данный момент у нас задача добиться работы vpn на полностью открытом файрволле (для начала), поэтому эти адреса нас не интересуют.


eth1 - это локалку в прову (незнаю как там у прова мы имеем 10.47.100.2) Как я понимаю, это сетевой интерфейс, который уходит к провайдеру и по нему мы получаем инет.

Теперь пошла непонятка - что-то лишнее. Я не понимаю, что значит "ppp1 - vpn к прову", если мы пролучаем инет по eth1. Или на участке eth1-провайдер тоже связь по vpn и сервер в данном случае является клиентом (но провайдера)?

В этом случае вопрос - с сервера можно выйти в инет? links там или еще что?

Предположим я угадал. Тогда мы получаем адрес 81.25.33.ХХХ от провайдера и с него выходим по vpn, верно?

Теперь у нас есть свой vpn-сервер, который мы в свою очередь раздаем клиентам. Адреса у них 10.10.10.0/24.

А теперь вопрос:

pppX раздаются по очереди. Это значит, что сначала поднимается ppp0, потом ppp1, далее ppp2... На сервере все эти интерфейсы выглядят одинакого. А значит если мы подключились сначала к провайдеру, то мы получаем ppp0, дальше первый клиент получает ppp1, второй ppp2, тут у нас связь падает, а следующий клиент подключается и... получает ppp0. А восстановивший связь сервер займет для связи с провайдером ppp3.

Возникает проблема - адрес динамический, как его забрать.

Я не знаю, сработает или нет, но есть такая опция для pppd linkname - по ней можно получить pid процесса. По pid надо узнать что у тебя за интерфейс (навскидку не скажу что писать - посмотри ман по awk)

После этого в скрипт файрволла нужно вставить

EXTIP="`$IFCONFIG $EXTIF | $AWK \
/$EXTIF/'{next}//{split($0,a,":");split(a[2],a," ");print a[1];exit}'`"

Так мы узнаем, что за адрес нам дал провайдер. После чего нам нужно передернуть таблицу nat:

$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -A POSTROUTING -s $LOCAL_INET \
-j SNAT --to-source $EXTIP

где $LOCAL_INET=10.10.10.0/24

jackill ★★★★★ ()
Ответ на: Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2 от jackill

Re: Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2

Забыл - EXTIF - это твой установленный ppp интерфейс к провайдеру. (у тебя он был обозначен как ppp1).

Передергивать таблицу построутинга нужно при каждом твоем новом подключении к провайдеру.

jackill ★★★★★ ()
Ответ на: Re: Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2 от jackill

Re: Re: Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2

Да ты все вернот понял что сервер к самому прову подрубается через VPN и тогда только имеет доступ в нет ( и чеоез линк он ходит отлично ) а пока не оне подруюлен зерез eth1 можно наблюдать лишь сайт провайдера

и верно что при восстановлении соединения от уже на ppp0 или ppp1 не упадет (почему я я пишу ppp1 потому что я пока так сделал, что прописал unit 1 и интерфейс бешается на ppp1 а в скриптах ip-up я всех рубил с этого интерфейса кроме того что надо) но всеравно не зависимо от этого я в файрволе все делал динамически через тот же ip-up скрипт ...

я сейчас изучаю все что ты мне тут накидал ...

пожалуйста если не сложно может мыло дашь я на мыло черкану если чтио-то не так пойдет ...

anonymous ()
Ответ на: Re: Re: Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2 от anonymous

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: NAT для VPN клиентов 2

Лучше тут пиши - легче потом инфу будет собирать, а по мылу потеряется нах.

unit 1 это очень хорошо. Значит у нас отпадает необходимость проверять какой ppp.

Просто возьми строчку для определения адреса и пропихни ее в свой стартовый для интерфейса скрипт. Только переименуй его как-нить (можно там так сделать).

jackill ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.