Ubuntu как шлюз

[AnrDaemon]

Вебморда вебморде рознь...

[Shia]

На картинке у меня указана схема моей сети, не подскажите пожалуйста, 1. В инет все машины ходят, а вот на местные сайты внутри сети провайдера доступа нет, когда вместо ubuntu стоял просто роутер, то все работало. Как узнать, это порты нужно открыть или шаманить с сетью 10.0.0.0? и 2. Направьте меня, пожалуйста, в русло, как можно поднять VPN сервер за ubuntu в локальной сети, чтобы могли подключаться к этой сети через интернет из другого города. Нужно ж в iptables прописать правила какие-то? Тоже порты открыть? Какие? Буду благодарна.

[AnrDaemon]

Адресацию на картинке расставьте. И укажите, где тут сеть провайдера.
Будет понятнее.

[Shia]

[AnrDaemon]

ip a; ip r; iptables-save
?

[Shia]

Прошу простить, что с меня нужно все выцеживать.
ip a

Код: [Выделить]

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether f8:1a:67:04:5c:7c brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0
    inet6 fe80::fa1a:67ff:fe04:5c7c/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether f8:1a:67:00:83:74 brd ff:ff:ff:ff:ff:ff
    inet 94.247.62.201/24 brd 94.247.62.255 scope global eth1
    inet6 fe80::fa1a:67ff:fe00:8374/64 scope link
       valid_lft forever preferred_lft forever
7: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 185.33.236.38 peer 94.247.56.226/32 scope global ppp0
ip r

Код: [Выделить]

default dev ppp0  scope link
10.1.1.248 via 94.247.62.1 dev eth1  src 94.247.62.201
10.1.1.250 via 94.247.62.1 dev eth1  src 94.247.62.201
94.247.56.226 dev ppp0  proto kernel  scope link  src 185.33.236.38
94.247.62.0/24 dev eth1  proto kernel  scope link  src 94.247.62.201
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.1
iptables-save

Код: [Выделить]

# Generated by iptables-save v1.4.12 on Wed Dec 18 10:14:43 2013
*filter
:INPUT ACCEPT [2008747:2262091698]
:FORWARD ACCEPT [2492193:1936341439]
:OUTPUT ACCEPT [1541342:289196719]
COMMIT
# Completed on Wed Dec 18 10:14:43 2013
# Generated by iptables-save v1.4.12 on Wed Dec 18 10:14:43 2013
*mangle
:PREROUTING ACCEPT [4515792:4199571336]
:INPUT ACCEPT [2008477:2262070292]
:FORWARD ACCEPT [2492177:1936339873]
:OUTPUT ACCEPT [1541064:289174437]
:POSTROUTING ACCEPT [4033241:2225514310]
COMMIT
# Completed on Wed Dec 18 10:14:43 2013
# Generated by iptables-save v1.4.12 on Wed Dec 18 10:14:43 2013
*nat
:PREROUTING ACCEPT [85694:6365582]
:INPUT ACCEPT [53257:3724613]
:OUTPUT ACCEPT [14506:884696]
:POSTROUTING ACCEPT [14506:884696]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -o ppp0 -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
COMMIT
# Completed on Wed Dec 18 10:14:43 2013

Пользователь решил продолжить мысль 18 Декабря 2013, 04:26:25:в ppp0 я так поняла уже нет необходимости, т.к. провайдер дает айпи прямо в интернет, т.е. впн соединение уже не нужно. Его отключила все остальное без изменения. Подскажите, что мне делать с моими вопросами?

[AnrDaemon]

Вам придётся обраться с этим вопросом к провайдеру.
Так, как у вас настроены интерфейсы сейчас, в сеть 10/8 вы не можете получить доступа никаким образом.
Вероятно, нужен алиас на eth1 с адресом из сети 10/8.

[Shia]

В тех поддержку написала, спасибо, а по поводу второго вопроса? Можете дать ссылку, пожалуйста, на статью как настроить ubuntu чтобы из интернета можно было стучаться в свою локальную сеть? и еще вопрос, тут только деньгами благодарить можно?) Там плюсики, голоса, "спасибо" никак не ставятся?
Пользователь решил продолжить мысль 18 Декабря 2013, 08:15:12:в iptables прописала правила:

Код: [Выделить]

-A PREROUTING -p tcp --dport 55555 -i eth1 -j DNAT --to-destination 192.168.0.2
-A FORWARD -i eth1 -o eth0 -d 192.168.0.2 -p tcp -m tcp --dport 55555 -j ACCEPTПри подключении к vpn-серверу пишет ошибку 800: удаленное подключение не удалось установить из-за сбоя использованных VPN-туннелей. Возможно VPN-сервер недоступен.
Пользователь решил продолжить мысль 18 Декабря 2013, 08:28:02:
Пользователь решил продолжить мысль 18 Декабря 2013, 08:47:32:Также

Код: [Выделить]

-A INPUT -p tcp -m multiport --dport 55555 -j ACCEPTно порт все равно закрыт

[AnrDaemon]

КАКОЙ VPN сервер? OpenVPN?
Оно по udp работает по умолчанию.

В filter/FORWARD надо разрешать --state DNAT

Держите пример (conntrack и state - один и тот же модуль... исторически)

Код: [Выделить]

# /opt/scripts/iptables-save-ordered
# Generated by iptables-save v1.3.8 on Wed Dec 18 10:43:40 2013
*mangle
:PREROUTING ACCEPT [85130516:28090171719]
:INPUT ACCEPT [68219946:19272933812]
:FORWARD ACCEPT [16904497:8808138726]
:OUTPUT ACCEPT [72244890:27802850176]
:POSTROUTING ACCEPT [89788870:36724134764]
# Это для виндовых PPTP клиентов.
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356
COMMIT
# Completed on Wed Dec 18 10:43:40 2013
# Generated by iptables-save v1.3.8 on Wed Dec 18 10:43:40 2013
*nat
:PREROUTING ACCEPT [902787:57032265]
:POSTROUTING ACCEPT [1577287:150518657]
:OUTPUT ACCEPT [1948948:199131188]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 4899 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:4899
-A PREROUTING -i eth1 -p tcp -m tcp --dport 23 -m conntrack --ctstate NEW -j DNAT --to-destination 192.168.17.2:23
-A POSTROUTING -o eth1 -j SNAT --to-source xx.yy.zz.30
COMMIT
# Completed on Wed Dec 18 10:43:40 2013
# Generated by iptables-save v1.3.8 on Wed Dec 18 10:43:40 2013
*filter
:INPUT DROP [448486:75901782]
:FORWARD DROP [15511:640382]
:OUTPUT ACCEPT [72244789:27802842996]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -i eth1 -j ULOG --ulog-prefix "OWN-INPUT "
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.17.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ! eth1 -j LOG --log-prefix "IPT-INPUT "
-A FORWARD -i eth1 -j ULOG --ulog-prefix "FORWARD-IN "
-A FORWARD -o eth1 -j ULOG --ulog-prefix "FORWARD-OUT "
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -i eth1 -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A FORWARD -s 192.168.0.0/255.255.0.0 -i eth1 -j NOWAY
-A FORWARD -d 192.168.0.0/255.255.0.0 -i eth1 -j NOWAY
-A FORWARD -s 192.168.17.0/255.255.255.0 -i ! eth1 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.17.0/255.255.255.0 -o ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i ! eth1 -j LOG --log-prefix "IPT-FORWARD "
-A OUTPUT -o eth1 -j ULOG --ulog-prefix "OWN-OUTPUT "
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT
# Completed on Wed Dec 18 10:43:40 2013

[Shia]

Нет, не OpenVPN,для начала я просто хочу проверить и просто создала на windows 7 новое входящее подключение средствами самой ОС.

[AnrDaemon]

Эээ... ?

[Shia]

Эмс, а так нельзя что ли?) http://win61.ru/podnimaem-vpn-server-na-windows-7.html

[AnrDaemon]

Осталось выяснить, что там за VPN...

[makckc]

  у какой резонанс когда девушка появилась, сразу все объяснять, а где ссылки? что все уже обжаловано 

[AnrDaemon]

makckc, в отличие от вас, девушка всё сделала сама, и ссылки не понадобились.