Проблема с настройкой vpn сервера (pptpd)

[reg1010]

Привет всем, я нуб, в разделе для нас, молчат( помогите с проблемой такой:
был куплен у hetzner vps (GNU/Linux 3.2.0-32-generic-pae i686) доступ только по ssh, на нем был поднят pptpd настроен по инструкции взятой тут http://kaplunenko.name/setup-pptp%E2%80%93vpn-server-ubuntu-10-04/ клиент подсоединяется, но интернет на не него идет. По этой же схеме на обычной дестопной Ubuntu все работает как надо. Помогите с настройкой плз...

ifconfig

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:1c:14:01:48:a5
          inet addr:88.198.161.2  Bcast:88.198.161.15  Mask:255.255.255.240
          inet6 addr: fe80::21c:14ff:fe01:48a5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2014949 errors:0 dropped:5 overruns:0 frame:0
          TX packets:168225 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:102073192 (102.0 MB)  TX bytes:28880677 (28.8 MB)
          Interrupt:10 Base address:0x4000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

iptables -L -v

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT 1781 packets, 178K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 1866 packets, 301K bytes)
 pkts bytes target     prot opt in     out     source               destination

route -n

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         88.198.161.1    0.0.0.0         UG    100    0        0 eth0
88.198.161.0    88.198.161.1    255.255.255.240 UG    0      0        0 eth0
88.198.161.0    0.0.0.0         255.255.255.240 U     0      0        0 eth0

[fisher74]

А что у автора-то не спросите?
Покажите хотя бы все правила командой iptables-save. Ну и желательно с подключенным клиентом.

[reg1010]

А что у автора-то не спросите?

повторюсь: если поставить на полностью дефолтной десктопной Ubuntu - все работает нормально, схема нормальная, проблема на виртуальном сервере провайдера

Покажите хотя бы все правила командой iptables-save. Ну и желательно с подключенным клиентом.

(Нажмите, чтобы показать/скрыть)

root@Ubuntu-1204-precise-32-minimal ~ # sudo iptables-save
# Generated by iptables-save v1.4.12 on Tue Nov 27 15:52:27 2012
*filter
:INPUT ACCEPT [24341:2590390]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26764:4357775]
COMMIT
# Completed on Tue Nov 27 15:52:27 2012

[fisher74]

не вижу маскарада. То есть команда

Код: [Выделить]

# PPTP IP forwarding
 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEне сработала (или не запускалась)

[reg1010]

дико извиняюсь, но цитирую /etc/rc.local

(Нажмите, чтобы показать/скрыть)

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

# PPTP IP forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


exit 0

[fisher74]

Ваша цитата не говорит о том, что эта команда работает, тем более, что этот самый скрипт срабатывает при запуске системы. Именно этот вопрос в том гайде не осветили.

А ещё пролетало, что на некоторых vps доступны не все модули ядра.

Запускайте свой заветный скрипт (от root, естественно) и снова смотрите выхлоп iptables-save. А заодно и разрешение ядру форвардить траффик

Код: [Выделить]

sysctl net.ipv4.ip_forward
ЗЫ и спойлеры... спооооойлерыыыы

[reg1010]

пардон за отсутсвие спойлера)
Вы были правы, ребут помог, и маскарад зработал) Спасибо Вам, что помогаете!
удивительно, что на десктопной системе работало без ребута, ну да ладно.
И еще один вопрос, думаю, что заключительный:
как пробросить порт, например, 55667 с внешнего адреса 88.198.161.2 на этом сервере на внутренный адрес, получаемый клиентом 192.168.18.2 порт 3389 ?

[fisher74]

Хоть и двойное нарушение правил (этот вопрос уже мильонтысячсто раз освещался и не только в Tutorial Iptables; один вопрос - одна тема), но как новичку отвечу:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth0 -d 88.198.161.2 -p tcp --dport 55667 -j DNAT --to-destination 192.168.18.2:3389
Удачи.

[reg1010]

спасибо большое)

[stempher]

Хоть и двойное нарушение правил (этот вопрос уже мильонтысячсто раз освещался и не только в Tutorial Iptables; один вопрос - одна тема), но как новичку отвечу:

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth0 -d 88.198.161.2 -p tcp --dport 55667 -j DNAT --to-destination 192.168.18.2:3389
Удачи.

а еще

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.18.2 -o eth0 -p TCP --sport 3389 -j SNAT --to-source 88.198.161.2

[fisher74]

а еще

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.18.2 -o eth0 -p TCP --sport 3389 -j SNAT --to-source 88.198.161.2

Это зачем? При живом-то маскараде на весь интерфейс....