привет.
у меня возникли затруднения с настройкой nat на ubuntu server 12.04 LTS.
мой удаленный сервер играет роль промежуточного звена в цепи впн серверов. на нем поднят openvpn сервер c интерфейсом tun0, и openvpn клиент с интерфейсом tun1. у сервера есть один физический интерфейс eth0.
Мне нужно транслировать пакеты с tun0 на tun1. Для этого я помечаю все пакеты, поступающие на tun0 :
iptables -A PREROUTING -i tun0 -t mangle -j MARK --set-mark 2
Помеченные таким образом пакеты, я пропускаю через таблицу proxy1 :
ip rule add fwmark 2 table proxy1
Для нее задан маршрут по умолчанию:
ip route add default dev tun1 table proxy1
Настроено правило nat :
iptables -t nat -A POSTROUTING -m mark --mark 2 -s 192.168.200.0/24 -o tun1 -j MASQUERADE
в настройках системы включен ipv4forwarding.
таблица маршрутизации proxy1 существует.
проблема в том, что пакеты не транслируются:((
с помощью tcpdump я вижу,что входящие на tun0 пакеты нормально транслируются на tun1,потом на tun1 поступают ответные пакеты, но на tun0 их не видно.
прикладываю некотрые настройки сервера:
ifconfig :eth0 Link encap:Ethernet HWaddr 00:16:3e:32:d6:de
inet addr:105.104.105.194 Bcast:105.104.105.255 Mask:255.255.255.192
inet6 addr: fe80::216:3eff:fe32:d6de/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:15328587 errors:0 dropped:47660 overruns:0 frame:0
TX packets:62107 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:760457284 (760.4 MB) TX bytes:8316539 (8.3 MB)
Interrupt:26
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.200.1 P-t-P:192.168.200.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:893 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:57197 (57.1 KB) TX bytes:360 (360.0 B)
tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.201.6 P-t-P:192.168.201.5 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:339 errors:0 dropped:0 overruns:0 frame:0
TX packets:887 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:51551 (51.5 KB) TX bytes:56837 (56.8 KB)
iptables-save:# Generated by iptables-save v1.4.12 on Sat Feb 9 17:00:53 2013
*mangle
:PREROUTING ACCEPT [48158:6753230]
:INPUT ACCEPT [21818:2838755]
:FORWARD ACCEPT [887:56837]
:OUTPUT ACCEPT [14730:2050512]
:POSTROUTING ACCEPT [15617:2107349]
-A PREROUTING -i tun0 -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Sat Feb 9 17:00:53 2013
# Generated by iptables-save v1.4.12 on Sat Feb 9 17:00:53 2013
*nat
:PREROUTING ACCEPT [30016:4777988]
:INPUT ACCEPT [5440:1046274]
:OUTPUT ACCEPT [475:34260]
:POSTROUTING ACCEPT [475:34260]
-A POSTROUTING -s 192.168.200.0/24 -o tun1 -m mark --mark 0x2 -j MASQUERADE
COMMIT
# Completed on Sat Feb 9 17:00:53 2013
# Generated by iptables-save v1.4.12 on Sat Feb 9 17:00:53 2013
*filter
:INPUT ACCEPT [22248:2903385]
:FORWARD ACCEPT [887:56837]
:OUTPUT ACCEPT [14882:2065433]
COMMIT
# Completed on Sat Feb 9 17:00:53 2013
что я делаю не так?