VPN+IPTABLES+ROUTE

[admin4ek]

Помогите разобратся, есть несколько интерфейсов
ppp0 - интернет от провайдера со статикой
eth0 - внутреняя сеть 10.0.0.0/24
eth2 -интерфес к которому подключен модем для ppp0
ppp1 - сервер VPN 10.0.0.0/24
Вопрос: ни как не могу сделать чтоб те кто звонят в ppp1(VPN) попадпдли во внутренюю сеть локально (10.0.0.0)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
stream-95.254.u *               255.255.255.255   UH     0      0        0 ppp0
10.0.0.0        *                    255.255.255.0        U     0      0        0 eth0
192.168.1.0     *                 255.255.255.0         U     0      0        0 eth2
default         *                              0.0.0.0           U     0      0        0 ppp0
root@server:/#

Пробовал дописать в iptables
 $IPT --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
не помогло (((((((((((((((

[Гарри Кашпировский]

iptables -t nat -A POSTROUTING -o ppp1 -d 10.0.0.0/24 -s адреса_назначаемые vpn-сервером -j MASQUERADE
Note:
Похоже адреса ppp1 и eth0 пересекаются?

[admin4ek]

Сенкс, ну да, какбы хочеться чтоб айпи с vpn попадал в сеть локально, т.е задача сделать так что человек работает в оффсе с базами, или и инета не имело значения. По логину ему же будет выдаватся тот же адрес что и сос стороны eth0. Или это не поеедет??

[Tokh]

По идее не поедет. Оба сетевых адаптера ppp1 и eth0 принадлежат одной подсети. Вот с любого адаптера (включая все остальные) пришёл пакет для какого-то адреса из сети 10.0.0.0/24. Эта сеть частично за ppp1, частично за eth0. В какой адаптер этот пакет маршрутизировать? Ответ получается по таблице маршрутизации. А там возможно только одна подсеть - один адаптер. Так задумано.

Надо для eth0 и ppp1 отдельные подсети. И прописать маршрут из одной сети в другую. Или как предложили - делать NAT маскарадингом. Но NAT, в отличии от просто маршрутизации, спрячет IP клиента, все клиенты будут от имени соответсвующего IP шлюза, что может быть менее интересно.

P.S. Иногда в аэропорту, гостинице, у домашнего провайдера или на работе адреса могут оказаться в той же подсети, что и на работе или дома. Это может помешать "дозвониться" куда хотелось, похожий случай.

[admin4ek]

Я перевел ppp1 на 192.168.2.0/24
Попорбовал с маскарадингом: С ВПН не пингуется ни чего кроме 10.0.0.3 - это адрес сетевой карты eth0 который смотрит на этом сервере во внутренюю сеть.((((((((
Пользователь решил продолжить мысль 05 Июня 2009, 15:30:31:ХЕЛП!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[Tokh]

Help me, get my feet back on the ground...
(c) The Beatles

Ох... А показать строку использованную для маскарада?
Что будет если маскарад не делать?
После смены адресов для VPN, что даст "route -n" при подключённом пользователе VPN?

Я повтыкал на строку указанную Гарри... Теперь Ваша очередь. Может я сильно не догоняю, но комбинация адресов источника, назначения и имени интерфейса смысла не имеет.

P.S. Я не нашёл чёткого указания от какого именно ифейса берётся адрес для маскарада. Догадываюсь, что от ифеса в который пакет отправлен по таблице маршрутизации, но не нашёл где это написано.
man iptables | grep MASQUE -C 1 -A 20
т.е. адрес ифейса через который уходит пакет.
http://www.opennet.ru/docs/RUS/iptables/index.html#MASQUERADETARGET

[admin4ek]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
stream-95.254.u *               255.255.255.255 UH    0      0        0 ppp0
192.168.2.2     *               255.255.255.255 UH    0      0        0 ppp1
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth2
default         *               0.0.0.0         U     0      0        0 ppp0
default         192.168.1.1     0.0.0.0         UG    100    0        0 eth2
root@server:~#

Пингуется с VPN только 10.0.0.3 (адрес сервера во внутреней сети) Кстати на нем крутится апатч, на него тоже могу зайти свпн, а вот другие машины в сети не пингуются ((((

[Tokh]

Надо смотреть правила iptables (пакеты от 192.168.2.2 в остальную локалку идут через FORWARD, а к Апачу и к 10.0.0.3 через INPUT). Потом сниффером на шлюзе и обоих машинах с разных сторон шлюза смотреть от кого кому оказываются адресованы пинги и где они гибнут. Сниффер Wireshark для графики, tcpdump - для консоли. Мне говорили у tcpdump есть "более лучший" аналог, тогда не опробовал и теперь забыл его название.

Если iptables имеют правила для записи в логи инфы о пакетах дошедших до "политики по умолчанию" (это обычно "умершие" пакеты), то
cat /var/log/messages | grep "нужное сочетание"
может дать записи о блокированных пакетах. Если их не зарезало другое правило.

[admin4ek]

ну вот то что там есть
Jun 10 10:09:52 server pppd[27683]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jun 10 10:09:52 server pppd[27683]: pppd 2.4.4 started by root, uid 0
Jun 10 10:09:52 server pppd[27683]: Using interface ppp1
Jun 10 10:09:52 server pppd[27683]: Connect: ppp1 <--> /dev/pts/0
Jun 10 10:09:54 server pppd[27683]: MPPE 128-bit stateless compression enabled
Jun 10 10:09:57 server pppd[27683]: local  IP address 192.168.2.1
Jun 10 10:09:57 server pppd[27683]: remote IP address 192.168.2.2
Jun 10 10:29:56 server kernel: [490837.907543] ip_tables: MASQUERADE target: bad hook_mask 1/16
Jun 10 10:30:26 server kernel: [490867.260921] ip_tables: MASQUERADE target: bad hook_mask 1/16
Jun 10 10:31:06 server kernel: [490907.622466] ip_tables: MASQUERADE target: bad hook_mask 1/16
Jun 10 10:31:47 server kernel: [490948.330759] ip_tables: MASQUERADE target: bad hook_mask 1/16
Jun 10 10:32:13 server kernel: [490974.387945] ip_tables: MASQUERADE target: bad hook_mask 1/16
Jun 10 10:38:05 server pppd[27683]: LCP terminated by peer (t4Y^W^@<M-Mt^@^@^@^@)
Jun 10 10:38:05 server pppd[27683]: Connect time 28.2 minutes.
Jun 10 10:38:05 server pppd[27683]: Sent 98315 bytes, received 21290 bytes.
Jun 10 10:38:05 server pppd[27683]: Modem hangup
Jun 10 10:38:05 server pppd[27683]: Connection terminated.
Jun 10 10:38:06 server pppd[27683]: Exit.
Jun 10 10:38:14 server pppd[29243]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Jun 10 10:38:14 server pppd[29243]: pppd 2.4.4 started by root, uid 0
Jun 10 10:38:14 server pppd[29243]: Using interface ppp1
Jun 10 10:38:14 server pppd[29243]: Connect: ppp1 <--> /dev/pts/0
Jun 10 10:38:16 server pppd[29243]: MPPE 128-bit stateless compression enabled
Jun 10 10:38:19 server pppd[29243]: local  IP address 192.168.2.1
Jun 10 10:38:19 server pppd[29243]: remote IP address 192.168.2.2
Jun 10 10:39:21 server pppd[29243]: LCP terminated by peer (AgE)^@<M-Mt^@^@^@^@)
Jun 10 10:39:21 server pppd[29243]: Connect time 1.1 minutes.
Jun 10 10:39:21 server pppd[29243]: Sent 192 bytes, received 12682 bytes.
Jun 10 10:39:21 server pppd[29243]: Modem hangup
Jun 10 10:39:21 server pppd[29243]: Connection terminated.
Jun 10 10:39:21 server pppd[29243]: Exit.

[Tokh]

"MASQUERADE target: bad hook_mask 1/16"

Help me, get my feet back on the ground...
(c) The Beatles

...строку использованную для маскарада?
Что будет если маскарад не делать?

[Гарри Кашпировский]

А форвард пакетов вообще разрешён?
cat /proc/sys/net/ipv4/ip_forward
1
если выдаёт 0 -- разрешить
echo 1 >/proc/sys/net/ipv4/ip_forward