Маршрутизация.. ХЕЛП!

[wetal1986]

вообщем есть. сервер на нем 3 сетевых карты ), 2 карты смотрят в локалку, 3-я смотрит в инет.
на нем же поднят VPN сервер.


IF_INET="br0"           # Интернет интерфейс, подключен к Роутеру .
IP_INET="192.168.3.20"

IF_LAN1="eth1"    #(локалка 1)
IP_LAN1="192.168.1.1"
LAN1_IP_RANGE="192.168.1.0/24"

IF_LAN0="eth2"   #(локалка 2)
IP_LAN0="192.168.0.5"
LAN0_IP_RANGE="192.168.0.0/24"

IF_VPN="pppo"     #(VPN)
IP_VPN="192.168.10.11"
VPN_IP_RANGE="192.168.10.0/24"

VPN клиенты конектятся серваку. все прекрасно, получают IP от 192.168.10.10-20 .
Им теперь нада достучаться до сервера 192.168.0.2 по РДП.
Порт стандартный РДП поменен на 13983 .

$IPTABLES -t nat -A PREROUTING  -i $IF_INET -p tcp --dport 13983 -j DNAT --to-destination 192.168.0.2:3389
$IPTABLES -A FORWARD -i $IF_INET -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT

VPN клиенты не пингуют 192.168.3.20 , и соответсвенно не ходят на нужный сервак.
 вроде все просто , но как сделать роутинг не могу понять ( помогите , люди добрые.

root@ubuntu:/home/java# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.10.27   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
0.0.0.0         192.168.3.170   0.0.0.0         UG    0      0        0 br0

[wetal1986]

 :' что никто не поможет... может хотя бы нужное направление  (( ...эх...

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

[wetal1986]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

 а можно Вас попросить )) чуточку поподробнее...

[ArcFi]

а можно Вас попросить )) чуточку поподробнее...

Открываем терминал, копипастим туда строку с командами.
Выполняем, при необходимости вводим пароль.
Весь выхлоп копипастим сюда.

[wetal1986]

Код: [Выделить]

ip a ; ip r ; sudo iptables-save

(Нажмите, чтобы показать/скрыть)

 
root@ubuntu:/home/java# ip a ; ip r ; sudo iptables-save
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:19:5b:69:2f:ed brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
    inet6 fe80::219:5bff:fe69:2fed/64 scope link
       valid_lft forever preferred_lft forever
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:05:1c:1b:08:af brd ff:ff:ff:ff:ff:ff
    inet6 fe80::205:1cff:fe1b:8af/64 scope link
       valid_lft forever preferred_lft forever
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 48:5b:39:ec:e7:ae brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.5/24 brd 192.168.0.255 scope global eth2
    inet6 fe80::4a5b:39ff:feec:e7ae/64 scope link
       valid_lft forever preferred_lft forever
5: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether 00:05:1c:1b:08:af brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.20/24 brd 192.168.3.255 scope global br0
    inet6 fe80::205:1cff:fe1b:8af/64 scope link
       valid_lft forever preferred_lft forever
7: vethAEHDTO: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 12:d9:f8:99:5a:d2 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::10d9:f8ff:fe99:5ad2/64 scope link
       valid_lft forever preferred_lft forever
192.168.3.0/24 dev br0  proto kernel  scope link  src 192.168.3.20
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.1
192.168.0.0/24 dev eth2  proto kernel  scope link  src 192.168.0.5
default via 192.168.3.170 dev br0
# Generated by iptables-save v1.4.4 on Mon Oct 22 09:15:26 2012
*nat
:PREROUTING ACCEPT [419014:25662087]
:POSTROUTING ACCEPT [58806:4324691]
:OUTPUT ACCEPT [36434:2649089]
-A PREROUTING -i br0 -p tcp -m tcp --dport 13983 -j DNAT --to-destination 192.168.0.2:3389
-A PREROUTING -i br0 -p tcp -m tcp --dport 13984 -j DNAT --to-destination 192.168.0.3:3389
-A PREROUTING ! -s 192.168.0.72/32 -i eth2 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.5:3128
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s 192.168.0.0/24 -o br0 -j SNAT --to-source 192.168.3.20
-A POSTROUTING -s 192.168.1.0/24 -o br0 -j SNAT --to-source 192.168.3.20
-A POSTROUTING -s 192.168.10.0/24 -o br0 -j SNAT --to-source 192.168.3.20
COMMIT
# Completed on Mon Oct 22 09:15:26 2012
# Generated by iptables-save v1.4.4 on Mon Oct 22 09:15:26 2012
*filter
:INPUT DROP [6131:617656]
:FORWARD DROP [13292:1896110]
:OUTPUT DROP [1849:162676]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -s 192.168.3.1/32 -j ACCEPT
-A INPUT -s 192.168.3.2/32 -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/24 -i eth2 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth2 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i br0 -p tcp -j tcp_packets
-A INPUT -i br0 -p udp -j udp_packets
-A INPUT -i br0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -d 192.168.0.2/32 -i br0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.3/32 -i br0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -s 192.168.3.51/32 -j ACCEPT
-A FORWARD -d 192.168.3.51/32 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -s 192.168.0.5/32 -j ACCEPT
-A OUTPUT -s 192.168.1.1/32 -j ACCEPT
-A OUTPUT -o br0 -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New not syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 20202 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A udp_packets -p udp -m udp --sport 53 -j ACCEPT
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Oct 22 09:15:26 2012

Пользователь решил продолжить мысль 22 Октября 2012, 22:43:46:и опять тишина 

[wetal1986]

что... не ужели нет такого гуру, который бы помог, как только появляется проблемка пострашнее того что как раздать инет ) или еще что-то ... сразу тишина ? ) не может такого быть... чтобы хоть кто-то но не сталкивался с такой проблемой.... жаль..

[ArcFi]

Короче, мне сейчас некогда глубоко копать, поэтому могу посоветовать для filter/FORWARD установить политику ACCEPT и включить логирование.
Если будет норм, то из логов составляете и дописываете нужные правила.
Если нет, то пилите в сторону маршрутов и таблицы nat.

[fisher74]

Вы правда считаете, что гуру только и делают, что сидят в форумах и помогают новичкам? Тогда открою Вам глаза: их знания и труд очень востребован и не всегда достойно оплачивается. Вы же тоже считаете, что "ща придёт гуру, проведёт меня по дебрям сетевых технологий и я буду на высоте перед начальством". А с проблемой, как Вы выразились "пострашнее" - в неё надо вникать и разбираться. На что нужно время, которого катастрофически не хватает, потому такие вопросы и решаются долго.
Вы же даже не знаете что делать со строкой которую предложил arcfi, а это говорит о Вашем уровне знаний и накладывает определённые сложности для помощника при попытке помочь.
Пользователь решил продолжить мысль 24 Октября 2012, 09:16:44:А почему у Вы считаете, что пакеты предназначенные 192.168.0.2 от VPN-клиентов, работающих через интерфейс ppp, будут прилетать на br0? Здесь Вы в корне ошибаетесь.

[wetal1986]

Многоуважаемый  fisher74 , я не претендую на звание гуру в Ubuntu, я новичок так как не сталкивался раньше с LInux  и поэтому попросил помощи,помоему и существуют такие форумы как этот.
Что значит на высоте перед начальством?!?! нет Вы не правы. отдоляемся от темы.
существует проблемка,которую нада решать.
Да я не знал что делать этой строкой, я новичок в этом деле, да и темы была изначально создана в топике "Для новичков в Ubuntu", а модератор ее перенес. все учатся,так же и я. и я все понимаю, что времени всегда мало.
 но есть люди которые способны помочь,если есть свободная минутка и помогают,спасибо им!
Пользователь решил продолжить мысль 24 Октября 2012, 09:51:17:

А почему у Вы считаете, что пакеты предназначенные 192.168.0.2 от VPN-клиентов, работающих через интерфейс ppp, будут прилетать на br0? Здесь Вы в корне ошибаетесь.

Просто в сети есть еще один VPN сервер (на другом IP внешке), но работающий и не работающий серваки объеденены в DMZ зону с помощью рутеров, и имееют интерфейсы за рутерами из одной подесети. (это делал предыдущий админ)
1 серв VPN 192.168.3.2 (работает)
2 серв VPN 192.168.3.20 (настраиваем ( не работает)
. и пользователя после подключения идут на сервер через 192.168.3.20:13983 и  ходят )) и пингуют 192.168.3.20 , но не пингуют 192.168.0.2 .

[fisher74]

Совсем запутали.
Мы каких клиентов VPN рассматриваем? Тех, что подключаются на этом сервере или на соседнем?
Если на этом, то input-interface будет не br0, а ppp0
и какова основная задача? чтобы пинговали 192.168.02 или могли подключиться к 192.168.3.20:13983?

[wetal1986]

Изивните , я может немного не так объясняю.
Цель.
Создать второй сервак-резервный VPN =)
Конечно же рассматривает тех , которые подключаются к новому серваку.
и чтобы могли подключаться к  192.168.0.2 через связку 192.168.3.20:13983 (для безопасности, порт и интерефейс поменен), если это не возможно,то пусть пингуют напрямую 192.168.0.2 .  как то так.
Пользователь решил продолжить мысль 24 Октября 2012, 10:40:56:я так понимаю, нужен просто маршрут с интерфейса VPN до  интерфейса IF_LAN0="eth2"  . подскажите как  ? (
и чтобы маршруты не надо было прописывать на клиентах ...

[fisher74]

Если хотите чтобы подключались к тому же адресу или 192.168.0.2, то придётся маршруты добавлять на клиентах (это помимо остального). Опять же, может этого и не надо делать, если у них VPN выставляется дефолтным.

Если сервисный адрес у клиентов можно сменить, то проще сделать, чтобы они подключались к IP ppp0, т.е. 192.168.10.11.
Выбирайте путь. Перед окончательным выбором покажите таблице маршрутизации любого VPN-клиента (во время сессии, конечно)

[wetal1986]

Если сервисный адрес у клиентов можно сменить, то проще сделать, чтобы они подключались к IP ppp0, т.е. 192.168.10.11.

Можно и так )) нет так сказать жесткой привязки.

после подключения к серваку :
 на сервере :

(Нажмите, чтобы показать/скрыть)

root@ubuntu:/home/java# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.10.27   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
0.0.0.0         192.168.3.170   0.0.0.0         UG    0      0        0 br0

на клиенте:

(Нажмите, чтобы показать/скрыть)

C:\Windows\System32>route print
===========================================================================
Список интерфейсов
 29...........................VPN SV
 11...1c 6f 65 49 3c b5 ......Realtek PCIe GBE Family Controller
 14...08 00 27 00 bc 77 ......VirtualBox Host-Only Ethernet Adapter
  1...........................Software Loopback Interface 1
 12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 30...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.100     20
   85.236.172.170  255.255.255.255      192.168.0.1    192.168.0.100     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.100    276
    192.168.0.100  255.255.255.255         On-link     192.168.0.100    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.100    276
     192.168.10.0    255.255.255.0    192.168.10.11    192.168.10.27     21
    192.168.10.27  255.255.255.255         On-link     192.168.10.27    276
     192.168.56.0    255.255.255.0         On-link      192.168.56.1    276
     192.168.56.1  255.255.255.255         On-link      192.168.56.1    276
   192.168.56.255  255.255.255.255         On-link      192.168.56.1    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.56.1    276
        224.0.0.0        240.0.0.0         On-link     192.168.0.100    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.56.1    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.100    276
  255.255.255.255  255.255.255.255         On-link     192.168.10.27    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.3.0    255.255.255.0    192.168.10.17       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 14    276 fe80::/64                On-link
 14    276 fe80::ed3e:c9f7:c829:bc76/128
                                    On-link
  1    306 ff00::/8                 On-link
 14    276 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Пользователь решил продолжить мысль 24 Октября 2012, 11:53:58:странно ) не понятно откуда постоянный маршрут вылез на IPv4 =)
маршрут удалил. 
Это был маршрут при подключении клиентов к старому серваку для доуступа к 192.168.0.2 через связку 192.168.3.20:13983 ) при этом сервак 192.168.3.20 пинговался.
пришлось вернуть маршрут )
Пользователь решил продолжить мысль 24 Октября 2012, 12:10:47:попробовал добавить на клиенте маршрут

(Нажмите, чтобы показать/скрыть)

C:\Windows\system32>route add 192.168.3.0 mask 255.255.255.0 192.168.10.27 -p
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.3.0    255.255.255.0    192.168.10.17       1
      192.168.3.0    255.255.255.0    192.168.10.27       1
===========================================================================

 не пингуется 192.168.3.20 с нового сервака. 

[fisher74]

Так у Вас для этого сервера другой шлюз будет, а именно 192.168.10.11
Потому нужно добавлять маршрут

Код: [Выделить]

192.168.3.0    255.255.255.0    192.168.10.17       1и один, максимум 2, но с разной метрикой, а не 38 вариантов для одной подсети.
Пользователь решил продолжить мысль 24 Октября 2012, 13:39:09:и ещё маленький момент: а forward_то ядру разрешён?

cat /proc/sys/net/ipv4/ip_forward

Что выдаёт?