Помогите с iptables

[mailnvk]

Есть ПК с ubuntu server 10.04, на нем устанавливается VPN тунель до удаленного офиса. Стоит одна сетевая карта (eth0 192.168.1.4 gw 192.168.1.1 ppp0 192.168.2.200). Необходимо чтобы пользователи локалки (192.168.1.0) видели сеть удаленного офиса (192.168.2.0), при этом шлюз у них другой. На пользовательских ПК прописываю маршрут до 192.168.2.0 через 192.168.1.4 (ubuntu), а вот iptables победить не получается.

Нужно срочно! Спасибо за ранее!
Пользователь решил продолжить мысль 19 Июня 2012, 19:55:46:Как обычно разобрался сам, ошибка была синтаксической. Теперь другая проблема, клиенты удаленного офиса не видят локальную сеть 192.168.1.0. ЧТо писать??

[Malamut]

Маршруты нужно прописывать в 2-х местах: на шлюзе локального и удалённого офиса. Скорее всего, вы забыли второе.

[mailnvk]

На удаленном сервере прописаны в первую очередь. Я так понимаю, что нужно что-то прописать на стороне 192.168.1.4, на удаленном пингуется только ip который получает клиент 192.168.2.200
Т.е. перенаправить трафик приходящий на ppp0 192.168.2.200 на eth0 192.168.1.4 (в локальную сеть 192.168.1.0)

[Malamut]

Так:

1. На клиентах ничего прописывать упаси Боже не нужно.
2. На default gateway для сети офиса 1 (как понимаю - на 1.4) нужно прописать маршрут до сети офиса 2. В данном случае это будет сделано автоматически при подъёме интерфейса ppp0, т.к. он имеет IP в этой сети.
3. На шлюзе, который висит на другом конце ppp туннеля нужно прописать маршрут в 1 сеть через 2.200.

Всё. Если вы не надобавляли iptables правил, которых не понимаете - то всё будет работать. И откройте для себя такую штуку, как mtr-tiny. Полезно для трассировки сетей.

[mailnvk]

/etc# iptables-save
# Generated by iptables-save v1.4.4 on Wed Jun 20 10:00:20 2012
*filter
:INPUT ACCEPT [43416:58873773]
:FORWARD ACCEPT [45:2280]
:OUTPUT ACCEPT [567:96437]
-A INPUT -p gre -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
COMMIT
# Completed on Wed Jun 20 10:00:20 2012
# Generated by iptables-save v1.4.4 on Wed Jun 20 10:00:20 2012
*nat
:PREROUTING ACCEPT [1803:146446]
:POSTROUTING ACCEPT [198:34006]
:OUTPUT ACCEPT [200:34182]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
Что лишнее? Или что не так?
Пользователь решил продолжить мысль 20 Июня 2012, 11:28:39:Сейчас там два правила:
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
Пингуется все в обе стороны, все порты открыты, к примеру радмин работает в обе стороны. Но не работает программа кассы, хотя если VPN устанавливать с кассы то все ОК. Похоже все дело в маскараде, как правильно нат настроить без него?