Шлюз через шлюз

[shenter]

Добрый день. У меня стоял прокси-сервер на ubuntu, который одним интерфейсом смотрел на интернет, другой - в локалку, являлся прокси-сервером и шлюзом. Но сейчас между интернетом поставил VOIP-шлюз addpac, то есть сейчас схема выглядит так:
Интернет --- (внешний ИП)voip-шлюз(192.168.1.1) ---- (192.168.1.244)прокси(192.168.0.244) ---- локалка (192.168.0.*).
Не могу настроить прокси(192.168.0.244), чтобы он выходил в интернет через voip-шлюз. На voip-шлюзе все настроено, т.е. в интернет он пускает. Но никак не могу перебрасывать пакеты, которые должны уходить из в интернет
PS Директор уже нервничает

[Tokh]

Не понятно, на шлюзе или прокси пакеты не перебрасываются.

Не обозначено признаков, по которым можно сказать что VOIP шлюз действительно настроен как ожидается. Как это проверено. Значит может быть не проверено? Может таки до конца не настроен? DNS через 53 порт и прочее.

Сам прокси из себя выпускает нужные пакеты? Если вместо шлюза к прокси прицепить патчкордом ноутбук и в Wireshark посмотреть, что выходит из прокси? Можно и на самом прокси, но...

P.S. Зачем настраивать выход для 192.168.0.244, когда надо для 192.168.1.244 + 192.168.0.0/24. Я много чего не знаю, но конкретный 192.168.0.244 конкретно на прокси, и именно в контектсте выхода наружу, когда 192.168.1.244 смотрит наружу... Для меня странная постановка вопроса или чего-то нехватает. Адрес-то в сетке "0" - это внутренний, и на "шлюзующем" прокси с двумя и-фейсами.

А может 192.168.1.0/24 вообще убрать. Пускай прокси и слушает клиентов и сам выходит через только адрес 192.168.0.0/24, только на внутреннем интерфейсе? Если нет цели огородить VOIP шлюз от локалки или нет ещё каких-то систем в сетке "1".

[kobaltd]

Не понятно, на шлюзе или прокси пакеты не перебрасываются.

Не обозначено признаков, по которым можно сказать что VOIP шлюз действительно настроен как ожидается. Как это проверено. Значит может быть не проверено? Может таки до конца не настроен? DNS через 53 порт и прочее.

Сам прокси из себя выпускает нужные пакеты? Если вместо шлюза к прокси прицепить патчкордом ноутбук и в Wireshark посмотреть, что выходит из прокси? Можно и на самом прокси, но...

P.S. Зачем настраивать выход для 192.168.0.244, когда надо для 192.168.1.244 + 192.168.0.0/24. Я много чего не знаю, но конкретный 192.168.0.244 конкретно на прокси, и именно в контектсте выхода наружу, когда 192.168.1.244 смотрит наружу... Для меня странная постановка вопроса или чего-то нехватает. Адрес-то в сетке "0" - это внутренний, и на "шлюзующем" прокси с двумя и-фейсами.

А может 192.168.1.0/24 вообще убрать. Пускай прокси и слушает клиентов и сам выходит через только адрес 192.168.0.0/24, только на внутреннем интерфейсе? Если нет цели огородить VOIP шлюз от локалки или нет ещё каких-то систем в сетке "1".

route
ifconfig
iptables
и конфиг прокси в студию

[shenter]

Не понятно, на шлюзе или прокси пакеты не перебрасываются.

Не обозначено признаков, по которым можно сказать что VOIP шлюз действительно настроен как ожидается. Как это проверено. Значит может быть не проверено? Может таки до конца не настроен? DNS через 53 порт и прочее.

Сам прокси из себя выпускает нужные пакеты? Если вместо шлюза к прокси прицепить патчкордом ноутбук и в Wireshark посмотреть, что выходит из прокси? Можно и на самом прокси, но...

P.S. Зачем настраивать выход для 192.168.0.244, когда надо для 192.168.1.244 + 192.168.0.0/24. Я много чего не знаю, но конкретный 192.168.0.244 конкретно на прокси, и именно в контектсте выхода наружу, когда 192.168.1.244 смотрит наружу... Для меня странная постановка вопроса или чего-то нехватает. Адрес-то в сетке "0" - это внутренний, и на "шлюзующем" прокси с двумя и-фейсами.

А может 192.168.1.0/24 вообще убрать. Пускай прокси и слушает клиентов и сам выходит через только адрес 192.168.0.0/24, только на внутреннем интерфейсе? Если нет цели огородить VOIP шлюз от локалки или нет ещё каких-то систем в сетке "1".

Прокси не настроен, чтобы выходить в интернет через шлюз. отказаться от 192.168.1.1 я не могу, шлюз конфигурирован не мной, но сказали, что он настроен так, чтобы выпускать в инет. Больше доказательств у меня нет ). Я бы хотел узнать, достаточно ли перенастроить интерфейс прокси, который подключается к шлюзу и поменять gateway, или надо прописать роуты?

[Tokh]

Прокси не настроен, чтобы выходить в интернет через шлюз. отказаться от 192.168.1.1 я не могу, шлюз конфигурирован не мной, но сказали, что он настроен так, чтобы выпускать в инет. Больше доказательств у меня нет ). Я бы хотел узнать, достаточно ли перенастроить интерфейс прокси, который подключается к шлюзу и поменять gateway, или надо прописать роуты?

Надо на прокси заменить старый адрес внешнего шлюза на 192.168.1.1 везде, где это может быть использовано. Это может быть в настройках фаервола (там NAT или маскарадинг, или ещё что-то?; см.вопросы kobaltd'а), Сквида и прочее. Проконтролировать наличие правильных DNS серверов в /etc/resolv.conf
Рестартануть сеть или вообще перегрузить комп. Должно заработать, если раньше работало. Поменялись-то только адреса...

Прописывать ли маршруты незнаю. Может быть сделано-то поразному. Но должен быть как-то указан 192.168.1.1 как шлюз по умолчанию. Это уже должно быть сделано, если раньше работало.
route -n
должна среди прочих строк давать для шлюза по умолчанию строку
0.0.0.0         192.168.1.1    0.0.0.0         UG    100    0        0 eth4

[shenter]

ifconfig:
eth0      Link encap:Ethernet  HWaddr 00:80:ad:3c:4a:a4
          inet addr:192.168.1.3  Bcast:192.168.255.255  Mask:255.255.255.0
          inet6 addr: fe80::280:adff:fe3c:4aa4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1
          RX packets:106389 errors:0 dropped:0 overruns:0 frame:0
          TX packets:103070 errors:1296 dropped:0 overruns:0 carrier:1296
          collisions:445 txqueuelen:1000
          RX bytes:105455004 (100.5 MB)  TX bytes:18461622 (17.6 MB)
          Interrupt:16 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr 00:00:e8:73:36:4e
          inet addr:192.168.0.244  Bcast:192.168.255.255  Mask:255.255.255.0
          inet6 addr: fe80::200:e8ff:fe73:364e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15997204 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8075144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:1317696 txqueuelen:1000
          RX bytes:1816631604 (1.6 GB)  TX bytes:607924299 (579.7 MB)
          Interrupt:17 Base address:0xc400

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:245 errors:0 dropped:0 overruns:0 frame:0
          TX packets:245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:31984 (31.2 KB)  TX bytes:31984 (31.2 KB)

route -n:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eth0

iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.0.245        anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.17         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.243        anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.27         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.26         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.200        anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.12         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.19         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.58         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.45         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.4          anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.15         anywhere            to:192.168.1.3
SNAT       all  --  192.168.0.4          anywhere            to:192.168.1.3

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

в resolv.conf стоят адреса ДНС-сервера провайдера.
Сам прокси интернет видит, squid работает, т.е. с других компьютеров с помощью squid'а можно выйти в интернет. Но напрямую с 192.168.0.* выйти, установив шлюз по умолчанию этот прокси - невозможно. Есть подозрения, что дело в iptables'ах

[Tokh]

Можно прямо посмотреть трафик.
sudo tcpdump -nn -i eth0
или
sudo tcpdump -nn -i eth0 | grep ай.пи.адрес
для обоих интерфейсов. Вдруг там что-то намекающее на неправильные правила в iptables.

И должно быть

Код: [Выделить]

$ cat /proc/sys/net/ipv4/ip_forward
1

[kinderr]

Такая же проблема, есть:
внутрнення сеть (192.168.0.0/24) -> eth0 (192.168.0.8:3128 - squid3) -> eth1 (192.168.1.7) -> adsl (192.168.1.1) - internet
В локалку также подключен ip telefon. Не могу настроить на его работу через проксю.

squid.conf
   acl tel src 192.168.0.113
   acl servervoip dstdomain sip.actionvoip.com   
   acl actionvoip port 5060
http_access allow tel servervoip
http_access allow tel actionvoip