Маршрутизация. Что и как(mini-HOWTO).

[crazy_user]

Проблема как раз в том, что вы маршрут добавляете в eth0, а ПОТОМ поднимаете ppp0.
И правила iptables у вас грузятся непонятно когда, если вообще грузятся. Переставьте загрузку правил на lo.

если можно подробней, пожалуйста. я в линуксе совсем недавно..
насколько я понимаю они грузятся при старте рррое..

файл с рулесами выглядит вот так

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012

[AnrDaemon]

если можно подробней, пожалуйста. я в линуксе совсем недавно..

Куда ЕЩЁ подробнее?
Интерфейсы поднимаются по очереди. Соответственно, команды подъёма тоже выполняются по очереди.
Для совсем полной картины - показывайте
ip route show table all
до и после поднятия PPP.

файл с рулесами выглядит вот так

Не важно, как выглядит файл с правилами.
Важно, что пока ppp0 не поднимется, у вас правила не загружены и машина голым задом в сети сидит.

[crazy_user]

перенес правила в lo.

ppp поднимается сразу при старте. с поднятым:

(Нажмите, чтобы показать/скрыть)

default dev ppp0  scope link
10.0.0.0/8 via 10.10.184.5 dev eth0
10.10.184.0/22 dev eth0  proto kernel  scope link  src 10.10.184.158
78.137.1.128/25 via 10.10.184.5 dev eth0
91.105.204.0/24 via 10.10.184.5 dev eth0
109.227.70.1 dev ppp0  proto kernel  scope link  src 109.227.71.186
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.21
broadcast 10.10.184.0 dev eth0  table local  proto kernel  scope link  src 10.10.184.158
local 10.10.184.158 dev eth0  table local  proto kernel  scope host  src 10.10.184.158
broadcast 10.10.187.255 dev eth0  table local  proto kernel  scope link  src 10.10.184.158
local 109.227.71.186 dev ppp0  table local  proto kernel  scope host  src 109.227.71.186
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.0.0 dev eth1  table local  proto kernel  scope link  src 192.168.0.21
local 192.168.0.21 dev eth1  table local  proto kernel  scope host  src 192.168.0.21
broadcast 192.168.0.255 dev eth1  table local  proto kernel  scope link  src 192.168.0.21
fe80::/64 dev eth0  proto kernel  metric 256
fe80::/64 dev eth1  proto kernel  metric 256
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
local ::1 via :: dev lo  table local  proto none  metric 0
local fe80::202:44ff:fe33:6c05 via :: dev lo  table local  proto none  metric 0
local fe80::202:44ff:fe93:df08 via :: dev lo  table local  proto none  metric 0
ff00::/8 dev eth0  table local  metric 256
ff00::/8 dev eth1  table local  metric 256
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255

без рррое:

(Нажмите, чтобы показать/скрыть)

10.0.0.0/8 via 10.10.184.5 dev eth0
10.10.184.0/22 dev eth0  proto kernel  scope link  src 10.10.184.158
78.137.1.128/25 via 10.10.184.5 dev eth0
91.105.204.0/24 via 10.10.184.5 dev eth0
192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.21
broadcast 10.10.184.0 dev eth0  table local  proto kernel  scope link  src 10.10.184.158
local 10.10.184.158 dev eth0  table local  proto kernel  scope host  src 10.10.184.158
broadcast 10.10.187.255 dev eth0  table local  proto kernel  scope link  src 10.10.184.158
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.0.0 dev eth1  table local  proto kernel  scope link  src 192.168.0.21
local 192.168.0.21 dev eth1  table local  proto kernel  scope host  src 192.168.0.21
broadcast 192.168.0.255 dev eth1  table local  proto kernel  scope link  src 192.168.0.21
fe80::/64 dev eth0  proto kernel  metric 256
fe80::/64 dev eth1  proto kernel  metric 256
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255
local ::1 via :: dev lo  table local  proto none  metric 0
local fe80::202:44ff:fe33:6c05 via :: dev lo  table local  proto none  metric 0
local fe80::202:44ff:fe93:df08 via :: dev lo  table local  proto none  metric 0
ff00::/8 dev eth0  table local  metric 256
ff00::/8 dev eth1  table local  metric 256
unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255

[koshev]

Уважаемые знатоки, прошу помощи чайнику.
<skip>
с доступом на локальные ресурсы..
<skip>
прочел ветку и вроде все понятно. и маршрут добаляется(вижу его в вебмине).. но на нужные ресурсы попасть не могу.. помогите дельным советом. плиз

файл с рулесами выглядит вот так

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012

[crazy_user]

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012

Доброго дня! спасибо за помощь. Попробовал. не прет выдает: Невозможно подключиться к удалённому серверу

Вы попытались получить доступ к адресу http://........, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введён правильно, и попытайтесь перезагрузить страницу.

[koshev]

Я думаю, надо бы показать что конкретно не доступно.
С сервера
nmap -p80 -PN <tagert_host> --traceroute
В сети за сервером
nmap -p80 -PN <tagert_host> --traceroute

[crazy_user]

Я думаю, надо бы показать что конкретно не доступно.
С сервера
nmap -p80 -PN <tagert_host> --traceroute
В сети за сервером
nmap -p80 -PN <tagert_host> --traceroute

с сервера
Starting Nmap 5.21 ( http://nmap.org ) at 2013-01-08 14:54 EET
Warning: Traceroute does not support idle or connect scan, disabling...
Nmap scan report for video.ck.ua (91.105.204.10)
Host is up (0.00052s latency).
rDNS record for 91.105.204.10: resources.k9.lv
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.20 seconds
из-за сервера, разве, что могу трасерт запустить. ибо нет линухов. трасерт не видет эти хосты

[koshev]

Тащем-та по указанному адресу

(Нажмите, чтобы показать/скрыть)

Так что вполне м.б что просто совпало.
Да трассировку покажите, с шлюза и с сети за шлюзом.
Однако

(Нажмите, чтобы показать/скрыть)

C:\>nmap -p80 -PN  video.ck.ua --traceroute

Starting Nmap 5.51 ( http://nmap.org ) at 2013-01-08 17:13 ╠юёъютёъюх тЁхь  (чшьр)
Nmap scan report for video.ck.ua (91.105.204.10)
Host is up (0.031s latency).
rDNS record for 91.105.204.10: resources.k9.lv
PORT   STATE SERVICE
80/tcp open  http

TRACEROUTE (using port 80/tcp)
HOP RTT      ADDRESS
1   0.00 ms  gray-gw.linux.lan (192.168.10.1)
2   0.00 ms  degunino-gw.linux.lan (31.130.39.1)
3   0.00 ms  degunino-brd.linux.lan (31.130.39.254)
4   0.00 ms  213.109.31.251
5   0.00 ms  188.35.136.41
6   15.00 ms msk-ix.datagroup.ua (193.232.244.28)
7   15.00 ms ae20-454.s31.kiev.datagroup.ua (80.91.160.129)
8   31.00 ms 46.164.145.130
9   31.00 ms 78-137-2-26.dynamic-pool.mclaut.net (78.137.2.26)
10  31.00 ms resources.k9.lv (91.105.204.10)

Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds

C:\>

[crazy_user]

за шлюзом:

(Нажмите, чтобы показать/скрыть)

Starting Nmap 6.25 ( http://nmap.org ) at 2013-01-08 15:38 Финляндия (зима)
Nmap scan report for video.ck.ua (91.105.204.10)
Host is up.
rDNS record for 91.105.204.10: resources.k9.lv
PORT   STATE    SERVICE
80/tcp filtered http
TRACEROUTE (using proto 1/icmp)
HOP RTT     ADDRESS
1   1.00 ms 192.168.0.21
2   ... 30
Nmap done: 1 IP address (1 host up) scanned in 13.10 seconds

с сервера трасероуте:

(Нажмите, чтобы показать/скрыть)

traceroute to video.ck.ua (91.105.204.10), 30 hops max, 60 byte packets
 1  10.10.184.5 (10.10.184.5)  1.393 ms  1.329 ms  1.274 ms
 2  78.137.1.230 (78.137.1.230)  1.295 ms  1.295 ms  1.254 ms
 3  resources.k9.lv (91.105.204.10)  0.362 ms  0.349 ms  0.331 ms

трасерт за шлюзом не идет вообще:

(Нажмите, чтобы показать/скрыть)

Трассировка маршрута к video.ck.ua [91.105.204.10]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс     1 ms  NETSERV [192.168.0.21]
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *     ^C

[koshev]

за шлюзом:
rDNS record for 91.105.204.10: resources.k9.lv
PORT   STATE    SERVICE
80/tcp filtered http

iptables-save -t filter ?

[crazy_user]

за шлюзом:
rDNS record for 91.105.204.10: resources.k9.lv
PORT   STATE    SERVICE
80/tcp filtered http

iptables-save -t filter ?

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Tue Jan  8 15:49:48 2013
*filter
:INPUT ACCEPT [62472:14049529]
:FORWARD ACCEPT [1043377:737083315]
:OUTPUT ACCEPT [20400:5715652]
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN:" --log-level 7
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT:" --log-level 7
COMMIT
# Completed on Tue Jan  8 15:49:48 2013

[ArcFi]

-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable

Либо убирайте, либо добавляете разрешающее правило перед этим.

[crazy_user]

-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable

Либо убирайте, либо добавляете разрешающее правило перед этим.

СПАСИБО! Помогло! В порыве стасти не заметил.

[ea2982]

Прошу помощь!!!

нужно настроить маршрутизацию в сеть
сеть:

(лок. сеть 172.16.10.0/24)(сервер 172.20.0.220) <-----туннель ipsec----> (сервер 172.20.0.230)(лок. сеть 172.16.3.0/24)

setkey -D говорит что туннель поднят
tcpdump -i eth0 -p esp тоже говорит что туннель установлен но трафик туда не идет 

Что нужно настроить и самое главное где нужно настроить ?

[AnrDaemon]

Между серверами пинг есть?