День добрый, есть OpenVPN сервер (10.10.10.1) соединяющий несколько сетей:

192.168.5.x (сеть за опенВПН сервером)

192.168.1.х (сеть за клиентом)

также клиент является выходом в инет для сети.

возникла потребность, чтоб компы двух сетей видели друг друга по своим адресам, но этому мешает NAT в клиенте прописано такое правило

-A POSTROUTING -s 192.168.0.0/255.255.0.0 -j MASQUERADE

как правильно исключить трафик между сетями из этого правила НАТ. чтоб выход в инет остался.

если полностью отключить НАТ, то сеть работает как надо от пропадает Интернет :(

Всем хорошего дня.

Потребовалось расширить место для загрузки файлов на сервер, сделано это было с помощью монтирования raid раздела второго сервера

sshfs root@ХХ.ХХ.ХХ.ХХ:/mnt/raid/road /home/road

Затем чтоб этот каталог был виден в chroot окружении ftp сервера, я сделал так

mount --bind /home/road /home/site.ru/www/road

в итоге в /home/site.ru/www/

# ls -l
drwx------ 2 kradm         krudoradm 4096 янв 22 10:17 111
drwxrwxrwx 1 kradm         krudoradm 4096 янв 29 11:11 road
drwxr-xr-x 4 kradm         krudoradm 4096 янв 22 11:00 road1
drwxrwxrwx 7 kradm         sftpusers 4096 окт  8 15:34 roads

пробую зайти по ftp

# ftp
ftp> open myhost.ru
Connected to myhost.ru.
220 (vsFTPd 3.0.2)
Name (myhost.ru:root): kradm
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwx------    2 1006     1006         4096 Jan 22 10:17 111
drwxr-xr-x    4 1006     1006         4096 Jan 22 11:00 road1
drwxrwxrwx    7 1003     111          4096 Oct 08 14:34 roads
226 Directory send OK.
ftp> cd road
550 Failed to change directory.
ftp> exit
221 Goodbye.

Хотя во всех мануалах пишут, что это работает

Q) Why don't symlinks work with chroot_local_user=YES?
A) This is a consequence of how chroot() security works. As alternatives,
look into hard links, or if you have a modern Linux, see the powerful
"mount --bind".

пробовал

chroot_local_enable=NO

vsftpd.conf

# cat /etc/vsftpd.conf | egrep -v "^\s*(#|$)"
listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=002
file_open_mode=0755
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
ascii_upload_enable=YES
ascii_download_enable=YES
allow_writeable_chroot=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
ssl_enable=NO
user_config_dir=/etc/vsftpd/userconf

в чём может быть причина?

День добрый господа.

Есть OpenVPN сервер далеко в интернете, к нему подключается клиент, за которым есть сеть ( 192.168.100.0/255.255.255.0 ) эта сеть получает интернет через этот ОпенВПН сервер.

но почему с сервера я не могу пинговать сеть 192.168.100.0 ? например клиент опенВПН имеет внутренний адрес 192.168.100.192

# cat server.conf

port 1194 #Порт
proto udp #Протокол
dev tun   #Название виртуального устройства
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
server 10.10.10.0 255.255.255.0 # vpn subnet
ifconfig-pool-persist ipp.txt # Тут будут храниться ip адреса клиентов
#push "route 192.168.100.0 255.255.255.0" # home
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 4
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd # Тут будут настройки для каждого филиала
route 192.168.100.0 255.255.255.0 # Маршрут от сервера до филиала 1

cat ccd/client1

iroute 192.168.100.0 255.255.255.0

маршрутизация на сервере

# ip ro
default via 91.230.211.129 dev eth0
10.10.10.0/24 via 10.10.10.2 dev tun0
10.10.10.2 dev tun0  proto kernel  scope link  src 10.10.10.1
91.111.211.128/25 dev eth0  proto kernel  scope link  src 91.111.211.155
192.168.100.0/24 via 10.10.10.2 dev tun0

#iptables-save

# iptables-save
# Generated by iptables-save v1.4.21 on Thu Nov 27 09:44:51 2014
*filter
-A FORWARD -s 10.10.10.0/24 -d 192.168.100.0/24 -i tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
COMMIT
# Completed on Thu Nov 27 09:44:51 2014
# Generated by iptables-save v1.4.21 on Thu Nov 27 09:44:51 2014
*nat
-A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.10.0.0/16 -j MASQUERADE
COMMIT

Далее клиент.

# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:15:e9:42:12:e7
          inet addr:192.168.100.192  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::215:e9ff:fe42:12e7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9529433 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14498216 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1069870112 (1.0 GB)  TX bytes:4244836235 (4.2 GB)
          Interrupt:17 Base address:0xc00

eth1      Link encap:Ethernet  HWaddr 00:15:e9:4a:aa:ae
          inet addr:195.111.96.36  Bcast:195.111.96.63  Mask:255.255.255.192
          inet6 addr: fe80::215:e9ff:fe4a:aaae/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14219418 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9328431 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4058530661 (4.0 GB)  TX bytes:1339978921 (1.3 GB)
          Interrupt:21

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:31009 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31009 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:10254502 (10.2 MB)  TX bytes:10254502 (10.2 MB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.6  P-t-P:10.10.10.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:3334189 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3852969 errors:0 dropped:8986 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:437725017 (437.7 MB)  TX bytes:557979603 (557.9 MB)

#cat /etc/openvpn/client.conf

remote 91.111.211.155 1194
client
dev tun
proto udp
resolv-retry infinite # this is necessary for DynDNS
nobind
user nobody
group nogroup
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/proxy.crt
key /etc/openvpn/proxy.key
comp-lzo
verb 4
mute 20
redirect-gateway
verb 4

#ip ro

10.10.10.5 dev tun0  proto kernel  scope link  src 10.10.10.6
91.211.211.155 via 195.209.96.1 dev eth1
195.111.96.0/26 dev eth1  proto kernel  scope link  src 195.111.96.36
192.168.100.0/24 dev eth0  proto kernel  scope link  src 192.168.100.192
10.10.10.0/24 via 10.10.10.5 dev tun0
default via 10.10.10.5 dev tun0

клиент имеет внутренний адрес 192.168.100.192, с сервера по этому адресу он не пингуется

# traceroute 192.168.100.192
traceroute to 192.168.100.192 (192.168.100.192), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *

если я подключусь ещё одним клиентом с сетью 192.168.Х.0 то две сети друг друга видят по внутренним адресам, но сам клиент не видит противоположную сеть.

вот и хотел бы разобраться, почему это так. на сервере маршут имеется

192.168.100.0/24 via 10.10.10.2 dev tun0

Заранее спасибо.

День добрый, есть сервер в нём внешний канал (eth1), локальная сеть(eth0), ещё ходит OpenVPN (tun0) для связи с остальными филиалами.

Добавился ещё один внешний провайдер. для его подключение я сделал так.

в файл

 /etc/iproute2/rt_tables

201 T1
202 T2

Создал скрипт, что будет заведовать маршрутизацией.

#!/bin/sh
IP1=217.111.111.99
IP2=94.11.111.81
P1=217.111.111.97
P2=94.11.111.82
IF1=eth1
IF2=eth4
ip route add default via $P1 table T1
ip route add default via $P2 table T2
ip route add default via $P1
ip rule add from $IP1 table T1
ip rule add from $IP2 table T2

после этого сервер отвечает по обоим интерфейсам. также пинги/трацерты с сервера ходят через нужный интерфейс.

 ping -I eth4 ya.ru 

теперь мне нужно что нужные мне клиенты ходили через этот интерфейс наружу. в iptables.up.rules у меня есть правила НАТа

-A POSTROUTING -s 95.111.72.152 -o eth4 -j MASQUERADE
-A POSTROUTING -s 10.10.10.6 -o eth4 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.10.0.0/255.255.0.0 -o eth1 -j MASQUERADE

первыми 2мя строками я хочу чтоб вот 95.111.72.152 и 10.10.10.6 НАТились через нового провайдера, но не судьба, трацерты с них замирают на шлюзе.

таблица маршрутизации вот такая

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
94.73.221.80    0.0.0.0         255.255.255.252 U     0      0        0 eth4
217.111.111.96  0.0.0.0         255.255.255.240 U     0      0        0 eth1
192.168.100.0   10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.6.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.4.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.3.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.2.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.0.0     10.10.10.2      255.255.255.0   UG    0      0        0 tun0
10.10.10.0      10.10.10.2      255.255.255.0   UG    0      0        0 tun0
0.0.0.0         217.111.111.97  0.0.0.0         UG    0      0        0 eth1
0.0.0.0         217.111.111.97  0.0.0.0         UG    100    0        0 eth1
0.0.0.0         94.73.221.82    0.0.0.0         UG    100    0        0 eth4

ЧТо может быть не так?

Приветствую всех, никак не могу победить выравнивание MTU

Что имеем Шлюз (на котором есть интерфейс eth0 - Локалка)

eth0      Link encap:Ethernet  HWaddr 00:15:e9:42:12:e7
          inet addr:192.168.100.192  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::215:e9ff:fe42:12e7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

На нём же поднят PPPoE

ppp0      Link encap:Point-to-Point Protocol
          inet addr:91.115.111.111  P-t-P:91.195.100.247  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1

на нёмже поднят клиентом OpenVPN

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.10.6  P-t-P:10.10.10.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1300  Metric:1

В опенВПН задал МТУ меньший чем на ppp в следствии опытов...

С клиентов, что за этим шлюзом не идут пинги, оно и понятно MTU то разный, но пинги идут вот такой командой.

ping yandex.ru -l 1200

На шлюзе какие только правила не пробовал.

и вот так

iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

и вот так.

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

и вот так.

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu

И результата нет. Дальше начал пробовать менять МТУ на сервере ОпенВПна, задавая в конфиг всякие переменные из ряда.

tun-mtu 1300
fragment 1200

но результата нет, пинг целый не проходит :(

Доброго времени суток господа!

Есть у меня сеть, состоящая из филиалов c ADSL по верх которого брошен OpenVPN

Основная беда, в том, что при кратковременном падении ppp - ОпенВПН остаётся висеть, но при этом перестаёт пропускать через себя траффик.

Это длиться до ребута, или рестарта OpenVPN. После чего всё заного начинает бегать и радоваться.

чтоб OpenVPN заводился поверх ppp я сделал простой скрипт.

/etc/ppp/ip-up.d/routing

#! /bin/sh
#Определяем выданный шлюз по умолчанию у меня он всегда разный но в сети 222.х.х.х
gw1=`ip route show | grep 222 | awk '{print $1}'`
# Удаляем 0.0.0.0 0.0.0.0
route del default
# Добавляем маршрут с верным шлюзом
route add -net default gw ${gw1} dev ppp0

chmod ug+x /etc/ppp/ip-up.d/routing

Пытался, в этот скрипт добавить

/etc/init.d/openvpn restart

Но по результату поднимаются 2 ОпенВПНа tun0 и tun1 и нифига вообще не работает.

Доброго времени суток.

есть 2 компьютера, связанные по ОпенВПНу. сети их по внутренним адресам пингуются

user1
ppp0 - adsl (real ip)
tun0 - openVPN (10.10.10.26)
eth1 - lan (192.168.4.x)

server1
eth0 - lan (192.168.5.1)
tun0 - openvpn (10.10.10.1)
eth1 - inet (realip)

-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.10.10.0/255.255.255.0 -o eth1 -j MASQUERADE

на user1 Хочу проверить полетит ли пакет в инет через tun #ping google.com -I tun0

Пинг не ходит, на server1 запускаю

#tcpdump -i tun0 -vvv
14:34:03.096423 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 10.10.10.26 > 74.125.232.16: ICMP echo request, id 33590, seq 8, length 64
14:34:03.150643 IP (tos 0x0, ttl 57, id 44291, offset 0, flags [none], proto ICMP (1), length 84) 74.125.232.16 > 10.10.10.26: ICMP echo reply, id 33590, seq 8, length 64

Запускаю на client1 тот же tcpdump

14:53:32.753770 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 10.10.10.26 > 74.125.232.18: ICMP echo request, id 46902, seq 1, length 64
14:53:32.841460 IP (tos 0x0, ttl 57, id 18880, offset 0, flags [none], proto ICMP (1), length 84) 74.125.232.18 > 10.10.10.26: ICMP echo reply, id 46902, seq 1, length 64
14:53:33.754347 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 10.10.10.26 > 74.125.232.18: ICMP echo request, id 46902, seq 2, length 64
14:53:33.837788 IP (tos 0x0, ttl 57, id 18881, offset 0, flags [none], proto ICMP (1), length 84) 74.125.232.18 > 10.10.10.26: ICMP echo reply, id 46902, seq 2, length 64
14:53:34.754352 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 10.10.10.26 > 74.125.232.18: ICMP echo request, id 46902, seq 3, length 64

Тоесть, что-то ходит.

Вопрос первый. 1 почему не работает пинг через server? 2 Как лучше организовать маршрутизацию? через дополнительную таблицу маршрутизации? или хватит основной просто дефаулт гетвей сделать на tun0 вместо ppp0?

Доброго времени суток господа.

есть компы разбросанные по региону, возможность перезапустить их - сильно ограничена.

что имеем: 1 центральный сервер, имеет на себе eth1 - выход в инет с реал ипом tun0 - 10.10.10.1 - сервер openvpn

Маршрутизация на нём

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.10.10.2      *               255.255.255.255 UH    0      0        0 tun0
227.127.176.96  *               255.255.255.240 U     0      0        0 eth1
192.168.100.0   10.10.10.2      255.255.255.0   UG    0      0        0 tun0
192.168.5.0     *               255.255.255.0   U     0      0        0 eth0
10.10.10.0      10.10.10.2      255.255.255.0   UG    0      0        0 tun0
default         marx122-gw.krsn 0.0.0.0         UG    100    0        0 eth1

2 клиент в регионе eth0 - ADSL соединение (воткнуто в модем) через него поднято ppp0 (PPPoE соединение) Поверх него поднят tun0 (openVPN)

Маршрутизация на нём.

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
ksk-bbar2.ncc.s *               255.255.255.255 UH    0      0        0 ppp0
10.10.10.5      *               255.255.255.255 UH    0      0        0 tun0
192.168.5.0     10.10.10.5      255.255.255.0   UG    0      0        0 tun0
localnet        *               255.255.255.0   U     0      0        0 eth0
10.10.10.0      10.10.10.5      255.255.255.0   UG    0      0        0 tun0
192.168.0.0     *               255.255.0.0     U     0      0        0 eth1
default         *               0.0.0.0         U     0      0        0 ppp0

Что требуется: На клиенте 2 завернуть весь траффик. через openvpn на сервер 1 он дальше в инет.

на сервере 1 настроен маскарад

-A POSTROUTING -s 10.10.10.0/255.255.255.0 -o eth1 -j MASQUERADE

-A POSTROUTING -s 192.168.0.0/255.255.0.0 -o tun0 -j MASQUERADE

что мне надо прописать на нём, при этом не обрушив ppp0 и не потеряв связь с ним (ребут долгий и не желательный совсем совсем)

Зарание спасибо PS OS ubuntu 8.04

Установил почтовый сервер. Согласно http://workaround.org/ispmail/etch вот этому мануалу

настроил почтовый клиент. И при каждом запуске клиента появляется сообщение. http://clip2net.com/clip/m23235/1270175939-clip-48kb.png Скриншот

Перерыв куча информации, стало примерно ясно, что я не правильно создал сертификаты.

openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem \ -keyout /etc/ssl/private/dovecot.pem

The certificate and key will be created while you get asked a few questions:

Generating a 1024 bit RSA private key .........++++++ ............................++++++

writing new private key to '/etc/ssl/certs/dovecot.pem'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:RU

State or Province Name (full name) [Some-State]:Russia

Locality Name (eg, city) []:Russia

Organization Name (eg, company) [Internet Widgits Pty Ltd]:name.moidomen.ru

Organizational Unit Name (eg, section) []:

Common Name (eg, YOUR name) []:name.moidomen.ru

Email Address []:postmaster@name.moidomen.ru

В настройках почтового клиента в качестве почтовых серверов указано. name.moidomen.ru

при соединении из Thunderbird Выходит окно, где можно посмотреть этот сертификат. Где указано, мол сертификат для домена name.moidomen.ru

Устанавливать сертификат на все клиентские машины (порядка 70 шт) не вариант.

Как можно поступить?

есть сервер на нём 2 интерфейса
eth0 - 192.168.100.1/24
eth1 - 192.168.2.1/24

есть samba сервер.
хочу для каждой из сетей создать каталоги невидимые для другой сети.
тоесть чтоб пользователи и не подозревали, что этот сервер работает и ещё для кого-то.
пока для каждого каталога прописано host allow 192.168.100.1/24

Но при этом пользоватили видят и те папки что для другой сети, но разумеется не могут зайти в них

Доброго времени суток господа.
есть у меня сервер на нём крутятся несколько сайтов. раздал фтп доступ владельцам сайтов, но учётки были системные тоесть юзер на фтп добавлялся по принципу useradd -d /var/www/site1 site1

однажды на тестовом домене увидел вот такое
http://develop.vzletka.net/
ну посмеялся мол боты хакнули, полез в логи обнаружил что одна из учёток клиента утекла возможно через фар или тотал
сменил пароли проверился рутхантером и забил, прошло с неделю...
сегодня прийдя с работы не могу зайти к себе по шелу на сервер.

# ssh login@89.105.129.12 -pPORT
Read from socket failed: Connection reset by peer

по фтп продолжаю нормально и беспрепятственно ходить подключаться по vpn ну и остальные все функции сервера работают :)

но возникло подозрение мол доломали меня.
как это можно проверить или может быть просто ssh демон помер?

Почему-то не пробрасывается порт

Говорю айпитейблсу

iptables -t nat -A PREROUTING -p tcp -d 91.195.101.20 --dport 7888 -j DNAT --to-destination 192.168.100.253:7888

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.253 --dport 7888 -j SNAT --to-source 91.195.101.20

хочу чтоб при коннекте к машине с убунтой 91.195.101.20 на порт 7888 перебрасывалось на машину что стоит внутри 192.168.100.253 на аналогичный порт, ну и дальше соединение устанавливалось.

Но вот почему-то не работает

>>>

Доброго времени суток

есть у меня сеть

192.168.100.0 255.255.255.0
етсь у меня в этой сети NAT

#iptables -t nat -A POSTROUTING -s 192.168.100.0/16 -o ppp0 -j MASQUERADE


# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128

(ppp0 скорее всего ADSL)

при поднятом ppp0 я вижу другой сервак (NAT linux2)
на нём я поднял VPN Server c сервера NAT linux1 по VPN подключаюсь к linux2
вот так

$ cat /etc/ppp/peers/sunlan
file /etc/ppp/options.pptp
pty "pptp vpn --nolaunchpppd"
name saber
remotename vpn
refuse-chap
refuse-mschap
replacedefaultroute
persist

echo "<ip-адрес vpn-сервера> vpn" >> /etc/hosts
echo "<login> * <password> *" >> /etc/ppp/chap-secrets
pon ppp1

в результате имею


ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.10.234 P-t-P:192.168.10.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1496 Metric:1
RX packets:5 errors:0 dropped:0 overruns:0 frame:0
TX packets:1812921 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:62 (62.0 B) TX bytes:755584067 (720.5 MB)

после чего
на linux2 вот такой нат
#iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o eth0 -j MASQUERADE


# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 128


на linux1 вот такая маршутизация
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 * 255.255.255.255 UH 0 0 0 ppp0
192.168.100.0 * 255.255.255.0 U 0 0 0 ppp1
192.168.10.0 * 255.255.255.0 U 0 0 0 eth0
default * 0.0.0.0 U 0 0 0 ppp0

но я так понимаю надо
# route del default
# route add default dev ppp1

пробовал ещё
#iptables -t nat -A POSTROUTING -s 192.168.100.0/16 -o ppp1 -j MASQUERADE

Но как видно выше траф уходит только в одну сторону по ppp1

в чём ошибка?

>>>

Ситуация такая, есть у меня выделенный сервер(ну если его так можно назвать, обычный ATX собранный на колене но стоит в серверной и на нём крутятся несколько сайтов)

стоит на одном из них чудо движок wordpress это чудо становится немного приемлимым при дополнительных плагинах, но чудо программисты что пишут плагины видимо не учили теорию баз данных и в итоге на прогрузку главной страницы выполняется 63 sql запроса за 1.129с (это по вечерам когда сервак стоит в 90-95%) (p4 3000с гиг памяти и хорошая мамка) рулит этим делом чудо ubuntu (фанатики читают debian ;) )

посетители постоянно прибывают, и месяца через 2 сервак просто будет в постоянной 100% загрузки, пыжится в основном mysql

есть идеи на отдачу картинок и ещё чегонить поставить nginx либо целиком закрыть им апач, тем самым для мускула останется больше ресурсов. Покупать новый сервак тоже вариант но не приемлимый, через пол года и его не хватит..

>>>

День добрый, хотел сделать полноценный нат но не полностью получилось ubuntu 8.04 server Соединение PPPoE сделал

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE

После чего пошёл http ftp mail icq траффик

Но не могу поднять ВПН из сети за натом во внешку и также DC++ коннектиться к хабу, но скачать ни с кого ничего не могу.

в какую сторону рыть?

>>>

И так господа, капну и я ложку дёгтя в данный проект. щёл я на сайт чисто с позитивными настроениями.. 1 я на этом сайте появляюсь примерно с 2001года, но не думал как-то регистрироваться, и тут свершилось! но долгой моя радость не была. раза с 15го я угадал вашу капчу, раза 2 вылетало сообщение о занятом нике, пришлось выдумать чтонить по круче., а ну это ОФФтоп простите. По поводу капчи мне значт ваш скрипт говорит что я ошибся капчей, и никакой кнопки вернуться назад и прочее сам руками жму назад, получаю туже самую капчу что и была, соотвесвенно что рега не прокатит.

Тут предлагаю либо редирект либо ссылку повешать мол нифига не найдено

Не прошло и 15ти минут как мне сайт сказал "о круто афигенно твоя учётка дабавлена" и тут я подумал "и чо? логинится или мыла ждать?", подумаф что про мыло не было сказанно попытался залогиниться, и нифига, я начал злосно пытаться залогиниться на что мне поднадевший скрипт начал говорит "ааааа мол напишика мыло о баге", я про себя подумал еслиб каждый писал там бы почтовый сервак вскипел..., думаю не буду накалять и без того сложную обстановку!

я всё пытался и пытался логиниться пока хватало нервов. заглянул в почту на гмайле там пусто.. думал всё ибозсесь... но тут пришло письмо и предложило мне руками активировать копипастить сложный набор букавак. (чесно скажу я последний раз видел такой году в 1999 когда впервые увидел интырнет). Кругом уже приходят нормлальные урлы, тыкнул и поехал дальше....

Продолжаю эпопею мучений и неудобств, может быть я с отклонениями, но я долго искал кнопку "создать тему" (за юзабилити форуму +1)

Долго не мог вглядеться с ацкие контрастные страсти форума. тёмно синий с тёмно черным да ещё и ярко белый, сразу такое мерзкое отвращение, круто когда ребята гордятся что форум они написали сами, сам был таким, помню на АСП написал :) но неужто сложно за касарь купить IPB либо как фаны опенсорца и фривара поставить smf оно удобно оно приятно...

я конечно думаю что данное сообщение обязателльно потрут т.к. правда глаза жжот. но знайте мои ассоциации после знакомства с вашим сайтом поглубже, настроение погашено, такого авна(простите) я давно не видел... я думаю что я не одинок в этом плане....

Перемещено JB из Linux-org-ru

>>>