раздача интернета на работе

[fisher74]

Как раз суть в том, чтобы Вы поняли откуда всё-таки у Вас интернет прилетает.
Спроецируйте - зачем Вы поднимаете VPN для своих пользователей, и откуда они получат интернет - через VPN или через Ethernet?

[podkovyrsty]

Я не знаю через какое место это у них работает, Но без поднятия vpn пакеты в инет не уходят.
Но счас суть вопроса в том как передать пакеты из ppp1 в eth0.

А может я,что не понимаю? Как вообще должно быть в теории? Что если есть два подключения, и прописан route default то пакеты сами должны бегать?

Отправитель посылает пакет по своей таблице маршрутов, если маршрут прописан сквозь туннель, то в туннель.
пакет выходит из туннеля (ppp1) в Ubuntu, смотрит адрес назначения, если это не она сама, то смотрит включен ли форвард, если включен, смотрит есть ли маршрут для назначения пакета, если есть, смотрит разрешены ли такие пакеты и маршрут на файрволле, если разрешены отправляет по маршруту, на вылете этот пакет попадает в POSTROUTING цепочку таблицы nat, где ему насильно заменяется адрес отправителя (MASQUERADE), после чего он отправляется дальше.
Ответ возвращается в обратном порядке.

Обычно, когда ты подключаешься к провайдеру, ты оказываешься в его локалке, и шлюз твоей подсети ни в какие интернеты тебя не пускает, потому что тупо не знает про них, или они запрещены.
Чтобы получить выход в инет, устанавливается VPN подключение до шлюза, при этом ты попадаешь в VPN локалку внутри него, из которой уже есть выход в инет.
Пользователь решил продолжить мысль 12 Мая 2011, 20:21:46:Да, tracepath, traceroute и tcpdump  вам в руки.

[plavv]

Я не знаю через какое место это у них работает, Но без поднятия vpn пакеты в инет не уходят.
Но счас суть вопроса в том как передать пакеты из ppp1 в eth0.

А может я,что не понимаю? Как вообще должно быть в теории? Что если есть два подключения, и прописан route default то пакеты сами должны бегать?

Отправитель посылает пакет по своей таблице маршрутов, если маршрут прописан сквозь туннель, то в туннель.
пакет выходит из туннеля (ppp1) в Ubuntu, смотрит адрес назначения, если это не она сама, то смотрит включен ли форвард, если включен, смотрит есть ли маршрут для назначения пакета, если есть, смотрит разрешены ли такие пакеты и маршрут на файрволле, если разрешены отправляет по маршруту, на вылете этот пакет попадает в POSTROUTING цепочку таблицы nat, где ему насильно заменяется адрес отправителя (MASQUERADE), после чего он отправляется дальше.
Ответ возвращается в обратном порядке.

Обычно, когда ты подключаешься к провайдеру, ты оказываешься в его локалке, и шлюз твоей подсети ни в какие интернеты тебя не пускает, потому что тупо не знает про них, или они запрещены.
Чтобы получить выход в инет, устанавливается VPN подключение до шлюза, при этом ты попадаешь в VPN локалку внутри него, из которой уже есть выход в инет.
Пользователь решил продолжить мысль 12 Мая 2011, 20:21:46:Да, tracepath, traceroute и tcpdump  вам в руки.

Напишите пожалуйста пример форвард + построутинга с маскарадом.

А какими должна быть подсеть тунеля ppp1? Должна ли она быть в подсети провайдера например:
ppp1      Link encap:Point-to-Point Protocol
 inet addr:10.1.17.253  P-t-P:10.1.17.252  Mask:255.255.255.255
или может в подсети eth0
ppp1      Link encap:Point-to-Point Protocol
 inet addr:10.1.18.174  P-t-P:10.1.18.173  Mask:255.255.255.255

[fisher74]

Напишите пожалуйста пример форвард + построутинга с маскарадом.

Без плана адресации трудно написать. А если использовать только интерфейсы, то получится решето.

А какими должна быть подсеть тунеля ppp1?

Та, какую Вы выберете (только видимо имелось ввиду ppp1-x)

Должна ли она быть в подсети провайдера

Ни в коем случае

[plavv]

Если вы мне поможите написать, вы очень меня выручите. На работе вся работа стоит, без однокласников, маил ру, погоды и новостей. 

route add default gw 10.1.17.254 или route add default dev eth0 (ну такая уж специфика моего провайдера)

ppp1  inet addr:192.168.1.1  P-t-P:192.168.1.2  Mask:255.255.255.255
ppp2  inet addr:192.168.1.1  P-t-P:192.168.1.3  Mask:255.255.255.255
и т.д.

провайдер <---- eth0 ( Ubuntu )  ppp1-х  <----- user-ы

[podkovyrsty]

Прочитайте определение VPN.
Это виртуальная частная сеть.
Какаяж она частная, если в одном диапазоне с другой сетью, и как вы маршруты писать будете, чтобы описать как отправить пакет в VPN или куда еще?

Это работа? Внутри одного офиса? Сильно траффик фильтровать не планируете? - тогда чистый nat с фильтрацией по ip, зачем вам лишняя головная боль с vpn?

[plavv]

Это гос. организация и сеть разбросана по многим этажам и отделам + еще не известно какие там шлюзы на другие подсети. Вообщем нет у нас толкового сетевого админа и порядка в сети. Я вот только пытаюсь навести порядок, но тоже не хватает прав и знаний. Я хочу подключить только наш сектор к интернету. А тот вариант как вы предлагаете, не подходит. Я боюсь криворуких умельцев, которые могут прийти раньше тебя на работу и занять твой IP. Так же в сети бродят вируса. Вообщем среда агрессивная. Если можите помогите, а то уже 3 день бьюсь, кучу перечитал литературы.
Вот нашел ссылку по моему она мне подходит, только надо заменить ppp0 на eth0, а eth1 на ppp1 http://homenet.beeline.ru/?showtopic=180375

[podkovyrsty]

Это гос. организация и сеть разбросана по многим этажам и отделам + еще не известно какие там шлюзы на другие подсети. Вообщем нет у нас толкового сетевого админа и порядка в сети. Я вот только пытаюсь навести порядок, но тоже не хватает прав и знаний. Я хочу подключить только наш сектор к интернету. А тот вариант как вы предлагаете, не подходит. Я боюсь криворуких умельцев, которые могут прийти раньше тебя на работу и занять твой IP. Так же в сети бродят вируса. Вообщем среда агрессивная. Если можите помогите, а то уже 3 день бьюсь, кучу перечитал литературы.
Вот нашел ссылку по моему она мне подходит, только надо заменить ppp0 на eth0, а eth1 на ppp1 http://homenet.beeline.ru/?showtopic=180375

Вам не по форумам билайна надо лазить, а по прикрепленной теме.
Там вам и маскарадинг, и все на свете.
Напишите в личку ваше мыло.

[Kowalski86]

Что -то вы такое намудрили... ужос. Вам нужно ограничить юзеров в использовании нета + раздача айпи?
Поставьте сквид + сделайте привязку мак-адреса к айпи при помощи dnsmasq (например). Допустим сквидом будете раздавать инет "нужным" людям (через ACL если понимаете о чем речь), а чтобы айпи не путались и небыло неразберихи ставите dnsmasq и все юзеры будут получать "свой" айпи. Iptables будете настраивать потом. А вообще с головой хватит сквида и ufw я думаю. Вобщем как-то так...

П.С. Я тоже работаю в подобной организации где 8 подсетей, правда я не главный админ, но у нас такая система как я описал выше. Все работает без проблем, правда сервак на Генту, но ПО одно и тоже.

[fisher74]

Без порядка в сети - порядка не будет...

[plavv]

Есть одна подсеть, которая разбросана по разным отделам и зданиям. Я не могу, пойти в другой отдел и командовать их компьютерами. Есть отдел информационных технологий, есть отдел связи это их работа. Но там к сожалению там работают люди которые только знают как переставить форточки и настроить на них IP. И самое обидное, что никому ничего не нужно, кроме меня. Ну не будем о плохом я все равно все настрою и все у меня получится 

[Kowalski86]

Настрой конечно правильный! 
Но опять же у меня на работе тоже компьютеры в первой подсети стоят на разных этажах и даже зданиях, дело не в этом. Не можете достучаться до некоторых компов, ставьте отдельную машину, можно даже старье и поднимите на нем сквид + dhcp  и пропишите на "ваших машинах" ваши настройки, а остальные пусть сами разбираються что им делать дальше 

[censor]

сегмент сети определяется IP адресом и маской, если в сети больше 10-15 компьютеров имеет смысл настроить динамическое получение IP адреса по средствам DHCP сервера в заданном сегменте.
vpn стоит применять для раздачи интернета пользователям из разных сетей, в пределах одного сегмента для офисного планктона не облагороженного знаниями компьютеров и сетей в частности будет достаточно фильтрации по MAC адресам для доступа в интернет

теперь по вашим проблемам
1. откуда приходит интернет действительно не ясно, судя маршрутизации он всетаки идет с eth0
2. если откинуть все впн, самые примитивные правила роутера будут выглядеть как
iptables -t filter -P FORWARD DROP
iptables -t nat -o eth0 -j MASQUERADE
для доступа пользователям прописываем правила
iptables -t filter -A FORWARD -i eth1 -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
00:00:00:00:00:00 - заменить на мак адрес нужнго компа.

ЗЫ разберитесь с какого интерфейса приходит интернет дальше будет предметный разговор а не гадание на кофейной гуще.

[plavv]

Всем спасибо за ваши посты. У меня все получилось как я и хотел.
Теперь нужно все осознать и переварить в своей голове