Настройка прокси сервера

[Mans]

Заранее извиняюсь, но ничего нужно найти не смог, поэтому решил создать новую тему.
Собственно проблема:
Есть сеть: локальные компьютеры (192.168.0.х/24) - свитч - прокси сервер на Ubuntu Server 10.04 (192.168.0.1/24 - внутренний интерфейс и 10.10.10.2 - внешний) - маршрутизатор CISCO (10.10.10.1). Интернет раздается через проксю SQUID. Интернет есть и всё нормально работает. Но есть необходимость подключения к компьютеру локальной сети, для этого поднимается VPN-соединение на CISCO и удаленный компьютер попадает в подсеть 10.10.10.0 с ip-адресом 10.10.10.х. Далее прокси сервер с удаленного компа пингуется, а вот всё что за ним (локалка) уже нет. Облазил всё, подскажите пожалуйста, в чем может быть проблема?

iptables -L -vn:

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy ACCEPT 122K packets, 15M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 23 packets, 2415 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 7846  317K ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:110
 3844 5383K ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:25
 3576  531K ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:443
    0     0 ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:22
    0     0 ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:53
    0     0 ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:389
    0     0 ACCEPT     tcp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           tcp dpt:3389
 1038 64883 ACCEPT     udp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           udp dpt:53
    0     0 ACCEPT     udp  --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           udp dpt:389
    0     0 ACCEPT     icmp --  eth0   eth1    192.168.0.0/24       0.0.0.0/0           
 279K  245M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      *       192.168.0.2          0.0.0.0/0           
 1671  100K ACCEPT     all  --  *      *       192.168.0.3          0.0.0.0/0           
   76 13510 ACCEPT     all  --  *      *       192.168.0.28         0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       192.168.0.160        0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       192.168.0.151        0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       192.168.0.31         0.0.0.0/0           
    9   512 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.0.31       
    8   408 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.0.151       

Chain OUTPUT (policy ACCEPT 19646 packets, 9456K bytes)
 pkts bytes target     prot opt in     out     source               destination

ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:08:a1:2c:a3:35 
          inet addr:192.168.0.141  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::208:a1ff:fe2c:a335/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:247642 errors:0 dropped:0 overruns:0 frame:0
          TX packets:195921 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29738443 (29.7 MB)  TX bytes:249739470 (249.7 MB)
          Interrupt:16 Base address:0xa000

eth1      Link encap:Ethernet  HWaddr 00:e0:4c:d5:9d:82 
          inet addr:10.10.10.2  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fed5:9d82/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:190748 errors:0 dropped:0 overruns:0 frame:0
          TX packets:123254 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:246495179 (246.4 MB)  TX bytes:17907487 (17.9 MB)
          Interrupt:21 Base address:0xa000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1210 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1210 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:199642 (199.6 KB)  TX bytes:199642 (199.6 KB)

route -n:

(Нажмите, чтобы показать/скрыть)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         10.10.10.1      0.0.0.0         UG    100    0        0 eth1

sysctl -p:

(Нажмите, чтобы показать/скрыть)

net.ipv4.ip_forward = 1

mcedit /proc/sys/net/ipv4/ip-forward:

(Нажмите, чтобы показать/скрыть)

1

P.S.: хочу попасть например на комп - 192.168.0.151

[Veter]

Необходимо на сервере поднять NAT.

[Mam(O)n]

Нарисуй что ли, а то ни хрена не понятно, зачем тут VPN...

[Mans]

Nat вроде бы поднят, как это точно проверить? Вот содержимое iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Aug 19 14:42:30 2010

*filter

:INPUT ACCEPT [9167:737993]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [1146:122913]

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 53 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 389 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p udp -m udp --dport 53 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p udp -m udp --dport 389 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.168.0.2 -j ACCEPT

-A FORWARD -s 192.168.0.3 -j ACCEPT

-A FORWARD -s 192.168.0.28 -j ACCEPT

-A FORWARD -s 192.168.0.160 -j ACCEPT

-A FORWARD -s 192.168.0.151 -j ACCEPT

-A FORWARD -s 192.168.0.31 -j ACCEPT

-A FORWARD -d 192.168.0.31 -j ACCEPT

-A FORWARD -d 192.168.0.151 -j ACCEPT

COMMIT

# Completed on Thu Aug 19 14:42:30 2010

# Generated by iptables-save v1.4.4 on Thu Aug 19 14:42:30 2010

*nat

:PREROUTING ACCEPT [178:30648]

:POSTROUTING ACCEPT [41:3021]

:OUTPUT ACCEPT [41:3021]

-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 10.10.10.2

COMMIT

# Completed on Thu Aug 19 14:42:30 2010

И прилагаю схему подключения...

[Mam(O)n]

Вот теперь всё ясно. Тебе нужно добавить разрешающие правила

Код: [Выделить]

iptables -A FORWARD -s 192.168.0.0/24 -d 10.10.10.0/24 -j ACCEPT
iptables -A FORWARD -s 10.10.10.0/24 -d 192.168.0.0/24 -j ACCEPT
И научить киску ходить в сеть 192.168.0.0/24 через gw 10.10.10.2

[Mans]

Не сработало

[Mam(O)n]

Самое главное здесь -

научить киску ходить в сеть 192.168.0.0/24 через gw 10.10.10.2

сделал? И как сделал?

[Mans]

Извиняюсь, совсем не обратил внимания на эту строчку. Не сделал, и пока не имею представления как. Сейчас уж рабочий день заканчивается, вернусь к вопросу во вторник. Если не сложно, распишите пожалуйста по подробнее как это сделать или киньте ссылку, это бы очень мне помогло выиграть время. Спасибо!

[Mam(O)n]

Хз, киски еще не гладил, не по карману... А суть в прописывании маршрута в сеть 192.168.0.0/24 через шлюз 10.10.10.2....

[fisher74]

распишите пожалуйста по подробнее как это сделать

Заходим на кошку и:

Код: [Выделить]

>enable
#configure terminal
(conf)#ip route 192.168.0.0 255.255.255.0 10.10.10.2
(conf)#exit
#write
#logout

[Mans]

Всё понял, но CISCO уже была настроена, со старой проксей она работала. IP route проверил, так и стоит 10.10.10.2. Самое страшное, что щас и старый прокси-сервер перестал пропускать во внутреннюю сеть Из изменений, которые я вносил, это только Ip-адрес внутреннего интерфейса с 192.168.0.1 на 192.68.0.141. Это может повлиять на работу?

[Mam(O)n]

На убунтошлюзе можешь послушать трафик на eth1, допустим пинг-запросы с помощью sudo tcpdump -ni any icmp[0]=8 и пропинговать из туннеля адреса из локалки. Если запросы будут видны, значит надо ковырять Ubuntu. Если же нет, то надо ковырять киску.

[Mans]

Пропинговать не успел, но поменял Ip-адрес внутреннего интерфейса прокси с 192.168.0.141 на 192.168.0.1 и всё заработало. Проверил конфигурацию CISCO, там нигде не указан ip 192.168.0.1, на проксе тоже такого не настраивал, из-за чего же такое происходит? К сожалению перекидывать ip-адреса и пинговать пока возможности нету, потому что постоянно нужен инет.

[Mam(O)n]

Да в общем то никак оно не должно зависить от внутреннего адреса. Может киске не нравится что ответные пакеты маскардятся. Покажи sudo iptables-save

[Mans]

Nat вроде бы поднят, как это точно проверить? Вот содержимое iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Aug 19 14:42:30 2010

*filter

:INPUT ACCEPT [9167:737993]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [1146:122913]

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 110 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 25 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 22 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 53 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 389 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p udp -m udp --dport 53 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p udp -m udp --dport 389 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -p icmp -j ACCEPT

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.168.0.2 -j ACCEPT

-A FORWARD -s 192.168.0.3 -j ACCEPT

-A FORWARD -s 192.168.0.28 -j ACCEPT

-A FORWARD -s 192.168.0.160 -j ACCEPT

-A FORWARD -s 192.168.0.151 -j ACCEPT

-A FORWARD -s 192.168.0.31 -j ACCEPT

-A FORWARD -d 192.168.0.31 -j ACCEPT

-A FORWARD -d 192.168.0.151 -j ACCEPT

COMMIT

# Completed on Thu Aug 19 14:42:30 2010

# Generated by iptables-save v1.4.4 on Thu Aug 19 14:42:30 2010

*nat

:PREROUTING ACCEPT [178:30648]

:POSTROUTING ACCEPT [41:3021]

:OUTPUT ACCEPT [41:3021]

-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 10.10.10.2

COMMIT

# Completed on Thu Aug 19 14:42:30 2010

И прилагаю схему подключения...