Настройка VPN-сервера(IPsec, L2TP, xl2tpd). Проблема с маршрутами (нет инета)

[Vaffel]

Добрый день.
Помогите, пожалуйста, настроить vpn-сервер L2TP с IPsec.
Вроде всё делал по различным рекомендациям найденным в сети, но в итоге всёравно нарвался на трабл, с которым уже тупо нет сил справиться.

При соединении по L2TP/IPsec на eth0 сервера на нём появляется новый интерфейс ppp0 (или ppp1, ppp2, ppp3 в зависимости от кол-ва клиентов) с ip: 172.16.0.2(~4).
Зайдя на сервер я успешно пингую эти ip.
С этих же клиентов я успешно пингую сервер 172.16.0.1
iptables временно отключил(с правилами тоже были проблемы, потом буду разбираться в настройках).

Интернет на сервере есть(через тот же eth0).
Интернета на клиентах нет.


Настройки:

(Нажмите, чтобы показать/скрыть)

version   2.0   # conforms to second version of ipsec.conf specification

# basic configuration
config setup
   nat_traversal=yes
   virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 # что с этим делать? не понял смысл настройки
   oe=off
   # which IPsec stack to use. auto will try netkey, then klips then mast
   protostack=netkey
   

# Add connections here
conn L2TP-PSK-NAT
        rightsubnet=vhost:%priv
        also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
   authby=secret
   pfs=no
   auto=add
   keyingtries=3
   rekey=no
   ikelifetime=8h
   keylife=1h
   type=transport
   left=44.158.10.43
   leftprotoport=17/1701
   right=%any
   rightprotoport=17/%any

(Нажмите, чтобы показать/скрыть)

[global]
ipsec saref = yes


[lns default]
ip range = 172.16.0.2-172.16.0.4
local ip = 172.16.0.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

(Нажмите, чтобы показать/скрыть)

require-mschap-v2
ms-dns 195.98.160.26
ms-dns 80.253.27.101
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

Маршруты: route

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         broadband-46-18 0.0.0.0         UG    100    0        0 eth0
44.158.10.0     *               255.255.255.0   U     0      0        0 eth0  #это на серваке интерфейс с инетом
172.16.0.3      *               255.255.255.255 UH    0      0        0 ppp1 #это клиент подключился по vpn. почему маска такая??
192.168.0.0     *               255.255.255.0   U     0      0        0 br0 #это второй интерфейс(wi-fi) с раздачей ip по dhcp и переадресацией на eth0(с инетом)

Почему по-умолчанию такая маска? Это верно?

Если это важно, то на сервере дополнительно есть dhcp на другой интерфейс(wi-fi) и петля на интерфейс с инетом(eth0).



Пользователь решил продолжить мысль 19 Октября 2012, 20:28:25:tcpdump -n -i ppp1 host 172.16.0.3

Код: [Выделить]

20:25:58.543877 IP 172.16.0.3.59052 > 173.194.71.94.80: Flags [S], seq 3462799401, win 65535, options [mss 1240,nop,wscale 4,nop,nop,TS val 478311035 ecr 0,sackOK,eol], length 0
Сервак получает трафик от клиента, но не переадресует его на другой интерфейс.
Пользователь решил продолжить мысль 19 Октября 2012, 20:32:37:Похоже зря я сбросил все правила iptables.

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth0 -j MASQUERADE ?
Правильно?

[Alexi55555]

а ты включил в iptables пересылку пакетов?