два соединения VPN

[W03L]

привет.

столкнулся с проблемой:
не получается настроить больше одного одновременного соединения к VPN серверу в интернете из локалки под управлением ubuntu-server (iptables).
IP у VPN серверов разные, но после того, как один пользователь установил соединение, другой не может соединиться.

подскажите в чём причина?

[podkovyrsty]

Как организован доступ к инету? покажите iptables-save.
И тип серверов и подключения.

[fisher74]

Вы уже определитесь - к одному серверу VPN пытаются подключиться клиенты с разных рабочих мест или к разным серверам VPN с одного рабочего места?

[W03L]

iptables-save

(Нажмите, чтобы показать/скрыть)

root@uServer:/boot# iptables-save
# Generated by iptables-save v1.4.4 on Fri Apr 29 15:25:23 2011
*filter
:INPUT ACCEPT [247237:165240767]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:15120]
-A INPUT -i eth0 -j ACCEPT
-A INPUT ! -s 127.0.0.1/32 -p tcp -m tcp --dport 52108 -j DROP
-A INPUT -i eth1 -p udp -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 47 -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --dports 1024:65535 -j ACCEPT
-A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -j DROP
-A FORWARD -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Fri Apr 29 15:25:23 2011
# Generated by iptables-save v1.4.4 on Fri Apr 29 15:25:23 2011
*mangle
:PREROUTING ACCEPT [540372:331131484]
:INPUT ACCEPT [536520:330211766]
:FORWARD ACCEPT [3582:829195]
:OUTPUT ACCEPT [612517:445310336]
:POSTROUTING ACCEPT [616118:446143384]
COMMIT
# Completed on Fri Apr 29 15:25:23 2011
# Generated by iptables-save v1.4.4 on Fri Apr 29 15:25:23 2011
*nat
:PREROUTING ACCEPT [3678:316470]
:POSTROUTING ACCEPT [13211:858568]
:OUTPUT ACCEPT [13145:854628]
-A PREROUTING ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 8085
-A POSTROUTING -s 192.168.0.1/32 -d *ip адрес vpn1*/32 -p udp -j SNAT --to-source 192.168.50.254
-A POSTROUTING -s 192.168.0.1/32 -d *ip адрес vpn1*/32 -p tcp -j SNAT --to-source 192.168.50.254
-A POSTROUTING -s 192.168.0.5/32 -d *ip адрес vpn2*/32 -p udp -j SNAT --to-source 192.168.50.254
-A POSTROUTING -s 192.168.0.5/32 -d *ip адрес vpn2*/32 -p tcp -j SNAT --to-source 192.168.50.254
COMMIT
# Completed on Fri Apr 29 15:25:23 2011
root@uServer:/boot#

Здесь 192.168.0.1 - одна тачка, которая подключается только к vpn1, а 192.168.0.5 к vpn2
192.168.50.254 - DSL modem

[fisher74]

В правилах беда, конечно... Но vpn это не должно мешать.
Судя по всему по отдельности клиенты соединяются со своими серверами. А вместе не могут. Правильно я понимаю?
Какойие VPN используеются?

[W03L]

Судя по всему по отдельности клиенты соединяются со своими серверами. А вместе не могут. Правильно я понимаю?

да, правильно.

Какойие VPN используеются?

? не понял
клиенты - windows, соединяются скорее всего тоже к виндовозным серверам.

а почему с правилами беда?

[fisher74]

Какойие VPN используеются?

? не понял
клиенты - windows, соединяются скорее всего тоже к виндовозным серверам.

PPPoE, PPTP, OpenVPN, IPSec...

а почему с правилами беда?

Ну хотя бы ненужными правилами разрешений при разрешающей политике по умолчанию
Всю таблицу filter можно спокойно очищать и оставлять 3 правила

-A INPUT ! -s 127.0.0.1/32 -p tcp -m tcp --dport 52108 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth1 -j DROP

Интересно, что сам шлюз вы защищаете на входящие, а клиентов - нет.

[W03L]

Какойие VPN используеются?

PPTP

а разве цепочка INPUT относиться не к "что не разрешено - запрещено"?

[fisher74]

а разве цепочка INPUT относиться не к "что не разрешено - запрещено"?

Цепочка - это не правило, а лишь их последовательность. Из коробки все дефолтные правила во всех цепочках - ACCEPT, то есть разрешено всё.

[W03L]

Цепочка - это не правило, а лишь их последовательность. Из коробки все дефолтные правила во всех цепочках - ACCEPT, то есть разрешено всё.

у меня в загрузочном файле с правилами в начале стоит

Код: [Выделить]

iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z
iptables -F
iptables -X
iptables -Z


[fisher74]

Я не против, что вы зачищаете все таблицы, но зачем потом туда ненужные правила инкрустировать?

Как-то так вижу пропуск VPN

Код: [Выделить]

sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -s 192.168.0.1/32 -d vpn1*/32 -m tcp -p tcp --dport 1723 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.0.5/32 -d vpn2*/32 -m tcp -p tcp --dport 1723 -j ACCEPT
sudo iptables -A FORWARD -s 192.168.0.1/32 -d vpn1*/32 -p gre -j ACCEPT
sudo iptables -A FORWARD -s 192.168.0.5/32 -d vpn2*/32 -p gre -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d -s 192.168.0.0/24 -j SNAT --to-source 192.168.50.254

можно, конечно оптимизировать вводом пользовательской таблицы, но ради 2-х клиентов .... да и лениво

[W03L]

Спасибо, после праздников буду пробовать.
с наступающими!

[podkovyrsty]

Ю а велкам.
Прочитайте справку по iptables с opennet, там ман, на русский переведенный.
Узнаете - что зачем и почему.

А то, похоже, у вас пакеты режутся эти.