Помогите довести до ума шлюз на Ubuntu 10.04.1

[RedE(yes)]

Присказка:
Поставил я тут шлюз на работе на основе Ubuntu 10.04.1
На шлюзе стоит 3 сетевых карты (одна, в данный момент не используется).
eth0 смотрит в Инет (имеется белый IP адрес, соединение поднимается на DSL модеме, который собственно и подключен к eth0) и имеет адрес 192.168.0.2
eth1 смотрит в локальную сеть и имеет адрес 192.168.10.2 (собственно, адрес шлюза для клиентов сети, назовем её главная сеть)
Итак, что имеем в работе: в локальной сети все прелесно - Инет работает, пробросы портов работают все четко. VPN сервер поднимается, НО тут
ПРОБЛЕМА: клиенты, которые подключаются к шлюзу по VPN пингуют внутренние ресурсы только если им выдаются адреса из диапазона ГЛАВНОЙ СЕТИ, а вот сами клиенты не пингуются ни при каких манипуляциях (собственно, это главная задача, чтобы клиенты не только могли использовать внутренние ресурсы ГЛАВНОЙ СЕТИ, но и чтобы я мог из ГЛАВНОЙ СЕТИ видеть этих самых клиентов, например, управлять ими по RDP)

Имеем вот такие правила iptables (закоменченные строки - это строки взятые из местных тем по настройки VPN сервера, без них он тоже работает, но я пока не понял почему ))):

(Нажмите, чтобы показать/скрыть)

sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A INPUT -i eth1 --source 192.168.10.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 --destination 192.168.10.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 --source 192.168.10.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --destination 192.168.10.0/24 --match state --state ESTABLISHED -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 80 -j DNAT --to-destination 192.168.10.3:80
iptables -A FORWARD -i eth0 -d 192.168.10.3 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 3389 -j DNAT --to-destination 192.168.10.1
iptables -A FORWARD -i eth0 -d 192.168.10.1 -p tcp --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 21 -j DNAT --to-destination 192.168.10.1
iptables -A FORWARD -i eth0 -d 192.168.10.1 -p tcp --dport 21 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.2 --dport 11000:13000 -j DNAT --to-destination 192.168.10.1
iptables -A FORWARD -i eth0 -d 192.168.10.1 -p tcp --dport 11000:13000 -j ACCEPT

# iptables -A INPUT -p gre -s 0/0 -j ACCEPT
# iptables -A INPUT -p tcp -s 0/0 --dport 1723 -j ACCEPT
# iptables -A OUTPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -p gre -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# iptables --append INPUT --protocol 47 --jump ACCEPT
# iptables --append INPUT --protocol tcp --match tcp --destination-port 1723 --jump ACCEPT

Вот такой pptpd.conf:

(Нажмите, чтобы показать/скрыть)

option /etc/ppp/pptpd-options
logwtmp
localip 192.168.10.200
remoteip 192.168.10.201-254

Вот такой pptpd-options:

(Нажмите, чтобы показать/скрыть)

auth
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.10.1
ms-dns 192.168.10.2
proxyarp
nodefaultroute
logfile /var/log/pptpd.log
lock
nobsdcomp

Таблица маршрутизации без VPN-подключения:

(Нажмите, чтобы показать/скрыть)

Destination Gateway Genmask Flags Metric Ref Use Iface
10.13.10.0      *               255.255.255.0   U     0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0
10.10.10.0      *               255.255.255.0   U     0      0        0 tun0
192.168.10.0    *               255.255.255.0   U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth1
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Она же с VPN-подключением:

(Нажмите, чтобы показать/скрыть)

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.10.201  *               255.255.255.255 UH    0      0        0 ppp0
10.13.10.0      *               255.255.255.0   U     0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0
10.10.10.0      *               255.255.255.0   U     0      0        0 tun0
192.168.10.0    *               255.255.255.0   U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth1
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Ну и ifconfig под конец:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:22:b0:de:6c:d1
          inet addr:192.168.0.2  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::222:b0ff:fede:6cd1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:819233 errors:0 dropped:0 overruns:0 frame:0
          TX packets:881609 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:254048552 (254.0 MB)  TX bytes:253632184 (253.6 MB)
          Interrupt:17 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:21:91:21:9a:8b
          inet addr:192.168.10.2  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::221:91ff:fe21:9a8b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:743484 errors:0 dropped:0 overruns:0 frame:0
          TX packets:777701 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:234649690 (234.6 MB)  TX bytes:248765078 (248.7 MB)
          Interrupt:18 Base address:0x8000

eth2      Link encap:Ethernet  HWaddr 00:0d:87:a9:1a:36
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:23 Base address:0xc000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:44 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4412 (4.4 KB)  TX bytes:4412 (4.4 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)
          inet addr:192.168.10.200  P-t-P:192.168.10.201  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:90 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:7856 (7.8 KB)  TX bytes:1508 (1.5 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:1.1.1.1  P-t-P:1.1.1.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING  MTU:1462  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Собственно, помогите решить проблему, ну и малость оптимизировать правила iptables, если там есть косяки какие... Заранее, спасибо.

[Doragon]

(собственно, это главная задача, чтобы клиенты не только могли использовать внутренние ресурсы ГЛАВНОЙ СЕТИ, но и чтобы я мог из ГЛАВНОЙ СЕТИ видеть этих самых клиентов, например, управлять ими по RDP)

Я бы сделал управление по SSH - у меня бы эти клиенты были как на ладони. Сам так дома баловался, правда, всего с двумя компами.

[RedE(yes)]

Я бы сделал управление по SSH - у меня бы эти клиенты были как на ладони. Сам так дома баловался, правда, всего с двумя компами.

Прошу прощения, забыл упомянуть, что все клиенты на Windows (ХР, Виста, 7), но в любом случае, я не вижу клиентов из главной сети )

[Mam(O)n]

Адресация твоих клиентов на ppp интерфейсе пересекается с адресацией 192.168.10.0/24 на интерфейсе eth1. Выводи ppp клиентов в другую подсеть.

[RedE(yes)]

Адресация твоих клиентов на ppp интерфейсе пересекается с адресацией 192.168.10.0/24 на интерфейсе eth1. Выводи ppp клиентов в другую подсеть.

Делал, после этого и клиенты перестают пинговать внутренние ресурсы сети. Но пусть это будет началом. Выведу их в 192.168.1.0

[Mam(O)n]

Делал, после этого и клиенты перестают пинговать внутренние ресурсы сети.

А вот теперь нужно смотреть sudo iptables-save

[RedE(yes)]

И получаем:

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Thu Sep 23 13:23:03 2010
*nat
:PREROUTING ACCEPT [1727:213673]
:POSTROUTING ACCEPT [16:981]
:OUTPUT ACCEPT [203:14907]
-A PREROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.3:80
-A PREROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.10.1
-A PREROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.10.1
-A PREROUTING -d 192.168.0.2/32 -p tcp -m tcp --dport 11000:13000 -j DNAT --to-destination 192.168.10.1
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Sep 23 13:23:03 2010

[Mam(O)n]

Чет я не понял, а где таблица filter? В первом посте инициализация её есть, а в выводе iptables-save её нет... Что показывает sudo iptables -nvL?

[RedE(yes)]

Код: [Выделить]

Chain INPUT (policy ACCEPT 802 packets, 103K bytes)
 pkts bytes target     prot opt in     out     source               destination
  133  9212 ACCEPT     all  --  eth1   *       192.168.10.0/24      0.0.0.0/0           state NEW,ESTABLISHED

Chain FORWARD (policy ACCEPT 347 packets, 27647 bytes)
 pkts bytes target     prot opt in     out     source               destination
20653 4428K ACCEPT     all  --  eth1   *       192.168.10.0/24      0.0.0.0/0           state NEW,ESTABLISHED
18448 2494K ACCEPT     all  --  eth0   *       0.0.0.0/0            192.168.10.0/24     state ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.10.3        tcp dpt:80
   10   615 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.10.1        tcp dpt:3389
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.10.1        tcp dpt:21
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            192.168.10.1        tcp dpts:11000:13000

Chain OUTPUT (policy ACCEPT 1707 packets, 207K bytes)
 pkts bytes target     prot opt in     out     source               destination
   71  7878 ACCEPT     all  --  *      eth1    0.0.0.0/0            192.168.10.0/24     state NEW,ESTABLISHED

[Mam(O)n]

Тут все в порядке... Точнее не совсем, все эти правила вовсе бесполезны без политики по умолчанию DROP, по этому и не мешают...

А клиенты получают новый дефолтный шлюз?

[RedE(yes)]

Тут все в порядке... Точнее не совсем, все эти правила вовсе бесполезны без политики по умолчанию DROP, по этому и не мешают...
А клиенты получают новый дефолтный шлюз?

Да

[Mam(O)n]

Это не то, показывай вывод route print

[RedE(yes)]

На клиенте, имеете в виду?
Пользователь решил продолжить мысль 23 Сентября 2010, 14:28:52:

Код: [Выделить]

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2    276
   87.117.xxx.xxx  255.255.255.255      192.168.1.1      192.168.1.2     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link       192.168.1.2    276
      192.168.1.0    255.255.255.0      192.168.1.1               15     21
      192.168.1.2  255.255.255.255         On-link       192.168.1.2    276
    192.168.1.255  255.255.255.255         On-link       192.168.1.2    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.2    273
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.2    276
  255.255.255.255  255.255.255.255         On-link                15    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      192.168.1.1  Default
===========================================================================Пользователь решил продолжить мысль 23 Сентября 2010, 14:31:03:И на сервере в этот момент:

Код: [Выделить]

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.2     *               255.255.255.255 UH    0      0        0 ppp0
10.13.10.0      *               255.255.255.0   U     0      0        0 tun0
192.168.0.0     *               255.255.255.0   U     1      0        0 eth0
10.10.10.0      *               255.255.255.0   U     0      0        0 tun0
192.168.10.0    *               255.255.255.0   U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth1
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

[Mam(O)n]

Код: [Выделить]

===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      192.168.1.1  Default
===========================================================================


В общем то он прописан... Только странно, почему в Persistent Routes, но это наверное уже не важно...

Делал, после этого и клиенты перестают пинговать внутренние ресурсы сети.

Под внутренними ресурсами сети подразумевается сеть 192.168.10.0/24 ?

А что на сервере покажет sudo tcpdump -ni ppp0 icmp и sudo tcpdump -ni eth1 icmp при пинге с клиента какого-либо узла из 192.168.10.0/24 ?

[RedE(yes)]

Код: [Выделить]

administrator@router:~$ sudo tcpdump -ni ppp0 icmp
[sudo] password for administrator:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel


Код: [Выделить]

administrator@router:~$ sudo tcpdump -ni eth1 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

В данный момент пинги не идут, если бы remoteip и localip были бы в том же диапазоне, что и главная сеть, то пинги б ходили...
Вообще, даже 192.168.1.1 не пингуется (виртуальный адрес VPN сервера)