LINUX.ORG.RU

to jackill и по теме : NAT для VPN клиентов


0

0

Привет!

Раз начали с тобой дискусию я решил к тебе и обратиться ...
короче шняга такая ...
изучил я все что ты мне надавал все понятно без вопросов,
и с твоего разрешения твою схему заюзаю в дальнейшем!

но!

Реально проблема осталась!!!
И с твоими фишками и с пустым ваерволшом тоже

короче присоединеные VPN клиенты не получают инет!
и что самое интересное, я прослушал tcpdump'ом и интерфейс
присоединненного клиента и вообще инет интерфейс, и что ты думаешь?

пакеты НЕ ИДУТ ... при всех ситуациях (с твоими настройками, и
с пустым фаерволом) вообще пустой tcpdump ... блин может что-то с клиентами не так??? но там все ПО ДЕФОЛТУ! и что самое интересное
я все это поднял на серваке на работе все работает а в домашней сетке нифига ....

и честно говоря я не понимаю что происходит ... и как вообще узнать почему не работает и т.п. ...

у меня есть вариант что я намутимл с фаерволом ... я его инсталил из сырцов с наложением POM (patch-o-matic) мне кажется я его сломал =( (ну его - фаервола) ... но тут я вообще ламерю я незнаю как кикнуть его =) и установить стандартный из моей поставки Fedora Core 2

Подскажи может чего-нить еще ...

Спасибо

anonymous

Давай последовательно разбираться. Линуксовая машина в инет вылезти может после подключения к vpn?

Если да, забираешь адрес, который провайдер тебе дал на vpn (не отлогиниваясь), и открыв (для пробы) всю цепочку FORWARD, задаешь новое правило с POSTROUTING. Перезапусаешь скрипт с правилами.

Далее логинишься с виндовой машины в vpn и смотришь что получится.

>и установить стандартный из моей поставки Fedora Core 2

У меня абсолютно стандартные iptables без POM. Как установить? Убиваешь свои собранные и ставишь пакет iptables. Только редхатовскими настройками для них не пользуйся.

jackill ★★★★★
()
Ответ на: комментарий от jackill

ПривеТ!
Все я уже в бешенстве ....

Я ОТКРЫЛ УЖЕ ВСЕ просто тупо и прямо позаписывал что-то типо 

iptables -A FORWARD -j ACCEPT
ну и тд. 
вписал iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -j SNAT --to-source 81.25.33.61 
(это Ип на момент соединения)

И всеравно! Но почему???
я так поджозреваю этот SNAT не работает
потому как 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

если так тупо всем в локалку пустить нет то все работает! =(

ps фаервол еще не ставил старый ... сейчас попробую может 
что изменится но я уже не веню в это =(

anonymous
()
Ответ на: комментарий от anonymous

У тебя проблема на клиентских машинах. Как вариант, клиенты подключаются, но шлют пакеты на eth0. Попробуй удалить на клиентской
машине адрес шлюза.

anonymous
()
Ответ на: комментарий от anonymous

В догонку. У меня тоже не было инета, пока был прописан шлюз.

anonymous
()
Ответ на: комментарий от anonymous

Да, а клиенты могут пингануть твой сервак через VPN? Если нет, то проблема с pptp-сервером. Похоже, iptables в твоем случае ни причем.

anonymous
()
Ответ на: комментарий от anonymous

Так шлюз удалил всеравно та же картина!

на счет пинга ... я тут что-то не понимаю

подключившись к впн клиенту дали адрес 10.10.10.2
адрес 10.10.10.1 не пингуется ... (это как я понимаю плохо) 
пингуется только 10.10.10.2 ... или я что-то не так понял 

вот что у клиента в роутах 

C:\Documents and Settings\LobsterX>route PRINT
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 02 44 53 e1 fd ...... SURECOM EP-320X-R 100/10/M PCI Adapter - Packet
Scheduler Miniport
0x40004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x50005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.10.10.2      10.10.10.2       1
          0.0.0.0          0.0.0.0   82.209.240.199  82.209.240.199       2
          0.0.0.0          0.0.0.0    192.168.1.100     192.168.1.9       22
       10.10.10.2  255.255.255.255        127.0.0.1       127.0.0.1       50
   10.255.255.255  255.255.255.255       10.10.10.2      10.10.10.2       50
   82.209.240.199  255.255.255.255        127.0.0.1       127.0.0.1       50
   82.209.240.249  255.255.255.255   82.209.240.199  82.209.240.199       1
   82.255.255.255  255.255.255.255   82.209.240.199  82.209.240.199       50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.9     192.168.1.9       20
      192.168.1.9  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.100  255.255.255.255      192.168.1.9     192.168.1.9       20
    192.168.1.255  255.255.255.255      192.168.1.9     192.168.1.9       20
      217.21.50.1  255.255.255.255    192.168.1.100     192.168.1.9       20
     217.76.32.61  255.255.255.255    192.168.1.100     192.168.1.9       20
        224.0.0.0        240.0.0.0      192.168.1.9     192.168.1.9       20
        224.0.0.0        240.0.0.0       10.10.10.2      10.10.10.2       1
        224.0.0.0        240.0.0.0   82.209.240.199  82.209.240.199       2
  255.255.255.255  255.255.255.255      192.168.1.9     192.168.1.9       1
Default Gateway:        10.10.10.2
===========================================================================

anonymous
()
Ответ на: комментарий от anonymous

Извиняюсь ! 
вот что у клиента!

C:\Documents and Settings\LobsterX>route PRINT
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2d0002 ...00 02 44 53 e1 fd ...... SURECOM EP-320X-R 100/10/M PCI Adapter -
cket Scheduler Miniport
0x360004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.10.10.2      10.10.10.2       1
       10.10.10.2  255.255.255.255        127.0.0.1       127.0.0.1       50
   10.255.255.255  255.255.255.255       10.10.10.2      10.10.10.2       50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.9     192.168.1.9       20
      192.168.1.9  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.100  255.255.255.255      192.168.1.9     192.168.1.9       20
    192.168.1.255  255.255.255.255      192.168.1.9     192.168.1.9       20
        224.0.0.0        240.0.0.0      192.168.1.9     192.168.1.9       20
        224.0.0.0        240.0.0.0       10.10.10.2      10.10.10.2       1
  255.255.255.255  255.255.255.255      192.168.1.9     192.168.1.9       1
Default Gateway:        10.10.10.2
===========================================================================
Persistent Routes:
  None

anonymous
()
Ответ на: комментарий от anonymous

Хреново, что пинг не идет. Интересно, а если со стороны сервака пингануть клиента? Похоже, что у тебя затык с настройкой сервака. Смотри, чего он в логах пишет. Может ему чего-то не хватает?

anonymous
()
Ответ на: комментарий от anonymous

тоже не пингует клиента с сервера в толах =) 
не поверите! 
все идиально!

cat /var/log/messages
Nov  8 18:54:09 server pptpd[1642]: MGR: Manager process started
Nov  8 18:54:09 server pptpd[1642]: MGR: Maximum of 99 connections available






anonymous
()
Ответ на: комментарий от anonymous

[root@server root]# lsmod
Module                  Size  Used by
ipt_MASQUERADE          3072  1
iptable_nat            20716  2 ipt_MASQUERADE
ip_conntrack           28300  2 ipt_MASQUERADE,iptable_nat
ip_tables              15744  2 ipt_MASQUERADE,iptable_nat
ppp_mppe_mppc          13824  0
ppp_async               9088  0
ppp_generic            24212  2 ppp_mppe_mppc,ppp_async
slhc                    6656  1 ppp_generic
crc_ccitt               1920  1 ppp_async
ipv6                  224388  8
dm_mod                 49468  0
uhci_hcd               27856  0
ehci_hcd               26500  0
ext3                  103656  2
jbd                    50520  1 ext3


а в консоли ничего не пишет 

anonymous
()
Ответ на: комментарий от anonymous

А если так:

iptables -A FORWARD -j ACCEPT iptables -A INPUT -j ACCEPT iptables -A OUTPUT -j ACCEPT

Затем логинишься и запускаешь

iptables -t nat -A POSTROUTING -s _адрес_клиента_ -j SNAT --to-source 81.25.33.61

Вопрос два:

так заработает инет?

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 81.25.33.61

jackill ★★★★★
()
Ответ на: комментарий от anonymous

Бляха муха. Не туда нажал. Посмотри сыпятся ли пакеты на eth0 на 1723 порт(или какой он там для pptp) и как они выглядят. Если у тебя
самосборное ядро, посмотри вкомпилирована ли поддержка gre(собрана модулем).
Она должна присутствовать(мне так кажется). По крайней мере, у меня tcpdump показывал все пакеты через VPN как gre(именно на eth0).

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.