Проблема с передачей голоса через шлюз + впн

[ustits]

Думаю маскарадинг лучше конкретизировать

-A POSTROUTING ! -d  192.168.1.0/24 -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Я просто про интернет запамятовал.

Поправил.

У меня бльшое подозрение что я не туда копаю, видимо копать надо под телефонистов и настройки станции.

[drako]

Думаю маскарадинг лучше конкретизировать

Лучше все правила по-человечески переписать.
*nat
PREROUTING:
правило для прозрачной прокси
POSTROUTING:
правило выхода в инет(лучше через SNAT, а не MASQUERADE)
*mangle
INPUT (DROP)
разрешить трафик для lo и ssh
FORWARD (DROP)
разрешить трафик из 192.168.1.0/24 в инет(правила для соединений NEW и RELATED,ESTABLISHED)
разрешить трафик между 192.168.1.0/24 и ЦО(лучше полностью для начала)
OUTPUT (ACCEPT)

Вот после корректного написания правил, можно подумать уже о настройках АТС и ISA. Хотя сразу могу сказать, что sip через тунели бегает на ура.

[ustits]

Поменял маскарадинг на snat

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.10 on Thu Jul 21 11:40:36 2011
*nat
:PREROUTING ACCEPT [72:4666]
:INPUT ACCEPT [11:682]
:OUTPUT ACCEPT [11:985]
:POSTROUTING ACCEPT [18:1517]
-A PREROUTING ! -d 192.168.1.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.1/32 -o eth0 -j SNAT --to-source 10.0.0.33
COMMIT
# Completed on Thu Jul 21 11:40:36 2011
# Generated by iptables-save v1.4.10 on Thu Jul 21 11:40:36 2011
*mangle
:PREROUTING ACCEPT [1533:140150]
:INPUT ACCEPT [561:48071]
:FORWARD ACCEPT [972:92079]
:OUTPUT ACCEPT [434:246732]
:POSTROUTING ACCEPT [1408:339308]
COMMIT
# Completed on Thu Jul 21 11:40:36 2011
# Generated by iptables-save v1.4.10 on Thu Jul 21 11:40:36 2011
*filter
:INPUT ACCEPT [553:47495]
:FORWARD ACCEPT [30:1560]
:OUTPUT ACCEPT [434:246732]
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 10.0.0.33/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jul 21 11:40:36 2011

Проброс убрал, зачем проброс, если должен работать простой роутинг
Dropы пока ставить не стал
Телефонисты перестроят станции, проверим

[drako]

Может все-таки:
-A FORWARD -i eth1 -o eth0 -m state --state NEW -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
и не забываем что любые правила -j ACCEPT бесполезны при общей политике ACCEPT.

P.S. Чуть не забыл, при INPUT (DROP), нужны будут еще след. правила:
-A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
P.S.S. В правиле для ssh нужно не -s 10.0.0.33/32, а -d 10.0.0.33/32.