объединение двух подсетей

[kostya4000]

Приветствую всех. Есть сервер с KVM, подняты виртуальные машины (виртуалка 1, виртуалка 2, виртуалка 3, виртуалка 4) получают ip через virbr0(ip 192.168.122.1), виртуальные машины видят друг друга в сети и с любой из виртуалок пингуется сеть 172.16.22.0. Еще на сервере KVM поднят vpn с интерфейсом ppp0(ip 172.16.22.1) подключенный клиент имеет ip 172.16.22.2 и с него не проходят пинги на 192.168.122.1. Нужно сделать так что бы клиент vpn имел доступ в сеть 192.168.122.0. Надеюсь я понятно написал. Добавил схему, нарисовал как смог.


ifconfig

(Нажмите, чтобы показать/скрыть)

br0       Link encap:Ethernet  HWaddr 00:26:b9:8c:06:09 
          inet addr:109.*.*.18  Bcast:109.*.*.23  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:67345940 errors:0 dropped:0 overruns:0 frame:0
          TX packets:49132369 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:35925429602 (35.9 GB)  TX bytes:5874270561 (5.8 GB)

eth0      Link encap:Ethernet  HWaddr 00:26:b9:8c:06:09 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:78994319 errors:0 dropped:0 overruns:0 frame:0
          TX packets:61096462 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:42696208680 (42.6 GB)  TX bytes:14136218067 (14.1 GB)
          Interrupt:16 Memory:da000000-da012800

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:578771 errors:0 dropped:0 overruns:0 frame:0
          TX packets:578771 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:203917594 (203.9 MB)  TX bytes:203917594 (203.9 MB)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:172.16.22.1  P-t-P:172.16.22.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:86 errors:0 dropped:0 overruns:0 frame:0
          TX packets:63 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:13460 (13.4 KB)  TX bytes:10383 (10.3 KB)

virbr0    Link encap:Ethernet  HWaddr fe:54:00:2f:ea:d9 
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41700632 errors:0 dropped:0 overruns:0 frame:0
          TX packets:55525563 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4193551435 (4.1 GB)  TX bytes:22632489053 (22.6 GB)

vnet0     Link encap:Ethernet  HWaddr fe:54:00:f3:e8:cb 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1957290 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2763354 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:453976355 (453.9 MB)  TX bytes:790583674 (790.5 MB)

vnet1     Link encap:Ethernet  HWaddr fe:54:00:2f:ea:d9 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11741789 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15833209 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:1432676647 (1.4 GB)  TX bytes:6113607474 (6.1 GB)

vnet2     Link encap:Ethernet  HWaddr fe:54:00:f1:89:7e 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3428049 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2642692 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:2943858321 (2.9 GB)  TX bytes:1178929450 (1.1 GB)

vnet3     Link encap:Ethernet  HWaddr fe:54:00:4e:ba:5f 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1536113 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1800282 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:1229813607 (1.2 GB)  TX bytes:1264783106 (1.2 GB)

vnet4     Link encap:Ethernet  HWaddr fe:54:00:fc:1b:7f 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7792 errors:0 dropped:0 overruns:0 frame:0
          TX packets:34093 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:521855 (521.8 KB)  TX bytes:1979111 (1.9 MB)

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Thu Feb 13 08:32:15 2014
*nat
:PREROUTING ACCEPT [16069:961865]
:INPUT ACCEPT [1701:109257]
:OUTPUT ACCEPT [528:32524]
:POSTROUTING ACCEPT [3638:226522]
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/12 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 08:32:15 2014
# Generated by iptables-save v1.4.12 on Thu Feb 13 08:32:15 2014
*mangle
:PREROUTING ACCEPT [130999097:53020529325]
:INPUT ACCEPT [13289495:15057791064]
:FORWARD ACCEPT [118735600:38104704490]
:OUTPUT ACCEPT [8416680:1240641919]
:POSTROUTING ACCEPT [127152181:39345341049]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Thu Feb 13 08:32:15 2014
# Generated by iptables-save v1.4.12 on Thu Feb 13 08:32:15 2014
*filter
:INPUT ACCEPT [3734:4085090]
:FORWARD ACCEPT [88808:36306192]
:OUTPUT ACCEPT [29438:13484841]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -d 192.168.122.75/32 -i eth0 -o br0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Thu Feb 13 08:32:15 2014

iptables -L -n -v -t nat

(Нажмите, чтобы показать/скрыть)

Chain PREROUTING (policy ACCEPT 7075 packets, 462K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 578 packets, 36350 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 198 packets, 12275 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 1868 packets, 115K bytes)
 pkts bytes target     prot opt in     out     source               destination         
1592K   79M MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
 2114  162K MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
  670 21596 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24   
 1961  145K MASQUERADE  all  --  *      *       172.16.0.0/12        0.0.0.0/0     

netstat -n -r

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         109.*.*.17    0.0.0.0         UG        0 0          0 br0
109.*.*.16    0.0.0.0         255.255.255.248 U         0 0          0 br0
172.16.22.2     0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.122.0   0.0.0.0         255.255.255.0   U         0 0          0 virbr0

[anubis_donetsk]

Покажите

cat /proc/sys/net/ipv4/ip_forward

[fisher74]

Покажите

Можно не показывать так как

инет на них через нат.

как бы намекает что forward включен и работает

iptables -L -n -v -t nat

То есть Вы считаете, что траффик от клиентов VPN до виртуальной машины через таблицу filter не ходит...

[kostya4000]

ip_forward включен конечно.

[AnrDaemon]

kostya4000, у нас, вообще-то, принято показывать ПРАВИЛА нетфильтра, а не статистику пакетов.
iptables-save показывайте.

[kostya4000]

да не вопрос.
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Thu Feb 13 08:32:15 2014
*nat
:PREROUTING ACCEPT [16069:961865]
:INPUT ACCEPT [1701:109257]
:OUTPUT ACCEPT [528:32524]
:POSTROUTING ACCEPT [3638:226522]
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/12 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 08:32:15 2014
# Generated by iptables-save v1.4.12 on Thu Feb 13 08:32:15 2014
*mangle
:PREROUTING ACCEPT [130999097:53020529325]
:INPUT ACCEPT [13289495:15057791064]
:FORWARD ACCEPT [118735600:38104704490]
:OUTPUT ACCEPT [8416680:1240641919]
:POSTROUTING ACCEPT [127152181:39345341049]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Thu Feb 13 08:32:15 2014
# Generated by iptables-save v1.4.12 on Thu Feb 13 08:32:15 2014
*filter
:INPUT ACCEPT [3734:4085090]
:FORWARD ACCEPT [88808:36306192]
:OUTPUT ACCEPT [29438:13484841]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A FORWARD -d 192.168.122.75/32 -i eth0 -o br0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Thu Feb 13 08:32:15 2014

[kostya4000]

ну что нет вариантов?

[AnrDaemon]

Попробуйте начать с того, что начисто перепишите ваши правила, уберите мусор и т.п.

[kostya4000]

а можно разьяснить для дураков? ну не понимаю я в этих маршрутах ничего. Причем еще сейчас выяснил что с самой виртуалки с ип 192.168.122.218 пингуется клиент vpn c ip 172.16.22.2, а вот клиент vpn c ip 172.16.22.2 не пингует виртуалку с ип 192.168.122.218

[AnrDaemon]

Я не про маршруты.

[kostya4000]

Я не про маршруты.

я так понимаю вы имеете ввиду ту чушь что я написал в первой посте, ну описал как смог, сейчас пост поправил и добавил схему, надеюсь так будет понятнее что я хочу сделать.

[AnrDaemon]

Я имел в виду ту чушь, которая у вас в правилах нетфильтра прописана.

[kostya4000]

вы могли бы помочь мне разобраться во всем этом? просто до этого ни разу не приходилось сталкиваться с таким, и я даже не знаю с чего начинать.
Пользователь решил продолжить мысль 16 Февраля 2014, 10:02:47:был бы очень признателен в помощи.

[AnrDaemon]

Начать с того, что удалить ВСЕ правила.
Потом прочитать и осмыслить топик https://forum.ubuntu.ru/index.php?topic=107492.0
Настроить машину согласно топику, пропуская очевидно не относящиеся к делу шаги по настройке DNS/DHCP.
При отсутствии результатов приложить диагностику, запрошенную там же в топике.

[kostya4000]

банально очистил все правила командой iptables -F
и все заработало. Всем спасибо.