Настройка NAT

[seyferrum]

задача: раздать интер по локалке с помошью vpn

Есть комп на нем Ubuntu 9.10,
провайдер домолинк,
есть два соединения с локальной сетью и интер.
на убунте настроен xl2tp (2 недели ненависти к гуглу)
клиенты заходят и с винды и с линукса
Помогите настроить NAT!!!
ps: переехал на линукс недавно еще зеленый

[renat906]

интернет в локалке будет раздаваться по vpn? Если нет то задача становиться очень простой
на линуксе необходимо подключить инет, затем в iptables прописать несколько правил типа

Код: [Выделить]

$IFINET - интефейс который смотрит наружу
$IFLOC - интерфейс который смотрит в локалку
iptables -t nat -A POSTROUTING -s 192.168.0./24 -o $IFINET -j SNAT --to-source 78.x.x.x
iptables -A FORWARD -i $IFLOC -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $IFINET -m state --state RELATED,ESTABLISHED -j ACCEPT

при этом не забудьте
добавить/раскомментировать в файле /etc/sysctl.conf строчку net.ipv4.ip_forward = 1

[seyferrum]

renat906: ты написал про раздачу в локалку

j SNAT не подойдет IP меняется думаю что маскаридить нужно типа

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.12.0/24 -j MASQUERADEстрока раскоментированна
нужно раздать интернет клиентам, которые заходят по VPN
клиент заходит ему присваевается ip 192.168.12.х
причем клиентов их может быть несколько

[Mam(O)n]

seyferrum, правильно мыслишь.
renat906, еще iptables -P FORWARD DROP забыл.

[seyferrum]

а что думете по поводу этого?

Код: [Выделить]

iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

[Mam(O)n]

Полезно, когда на этой тачке используется vpn с соответственно сниженным mtu. А команда неправильная. -t mangle нужно еще.

[seyferrum]

Mam(O)n: а как же будет выглядеть мой полный NAT. а то все кусками как-то

[Mam(O)n]

Стандартно:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o интерфейс_интернета -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i интерфейс_локалки  -j ACCEPT
# Если есть интерфейс с пониженным mtu, раскомментировать следующее:
# iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


[seyferrum]

а у клиента какой шлюз?(ip vpn сервера)
а dns?
Пользователь решил продолжить мысль 18 Февраля 2010, 13:53:57:вопрос?
как будет с распределением трафика в зависимости от активности пользователей?

[Mam(O)n]

Шлюз - да, ip vpn сервера. В случае tap конечно. С tun я еще не игрался. А dns - провайдерские. Или поднимай собственный днс-прокси. Например dnsmasq.

[seyferrum]

:В случае tap конечно. С tun я еще не игрался:
ты о чем?

[Mam(O)n]

Про vpn ты первый начал  http://ru.wikipedia.org/wiki/TUN/TAP

[seyferrum]

нашел описание про деление канала
http://linuxportal.ru/forums/index.php/t/22591/
имеет право на жизнь?
Пользователь решил продолжить мысль 18 Февраля 2010, 13:05:15:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtuдобавил к виндовому клиенту dns провайдера и все пошло

вопрос про разделение канала на равные части

[Mam(O)n]

Эм. Сорри. Глаз замылился. Я в том посте изначально немного неправильно написал. Исправленному верить.

Про разделение - попробуй. Никто не против.

[Unreg]

Полезно, когда на этой тачке используется vpn с соответственно сниженным mtu. А команда неправильная. -t mangle нужно еще.

http://www.gentoo.org/doc/en/home-router-howto.xml

Incorrect MTU Value

If you experience odd errors (such as not being able to access some webpages while others load fine), you may be having Path MTU Discovery trouble. The quick way to test is to run this iptables command:

Code Listing 7.2: Circumvent MTU issues
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
This will affect all new connections, so just refresh the website you're having problems with in order to test. In case it helps, the standard MTU value for 100mbit ethernet connections is 1500; this value also applies to PPPoA. For PPPoE connections it is 1492. For more info, you should read Chapter 15 of the Linux Advanced Routing & Traffic Control HOWTO.

If that command does not work for you, you may want to try putting the rule into the mangle table. Simply add -t mangle to the command.