Три сети. IPtables. Маршрутизация.

[artem-moskvin]

Четыре сетевые карты.
Четыре сетки:
10.10.11.*
10.10.13.*
10.10.15.*
192.168.1.*

Адрес сервера:
10.10.11.1
10.10.13.1
10.10.15.1
192.168.1.215

Нужно сделать так, чтобы клиенты из 10.10.13.* видели три остальные сети.
Как?

[ArcFi]

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save?

[artem-moskvin]

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save?

(Нажмите, чтобы показать/скрыть)

root@server:/home/artem-moskvin# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 3c:d9:2b:0c:1f:b3 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.215/24 brd 192.168.1.255 scope global em1
    inet6 fe80::3ed9:2bff:fe0c:1fb3/64 scope link
       valid_lft forever preferred_lft forever
6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast sta                                                                                        te UNKNOWN qlen 100
    link/none
    inet 10.10.13.1 peer 10.10.13.2/32 scope global tun0
7: tun2: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast sta                                                                                        te UNKNOWN qlen 100
    link/none
    inet 10.10.15.1 peer 10.10.15.2/32 scope global tun2
8: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast sta                                                                                        te UNKNOWN qlen 100
    link/none
    inet 10.10.11.1 peer 10.10.11.2/32 scope global tun1
root@server:/home/artem-moskvin# ip r
default via 192.168.1.20 dev em1
10.10.11.0/24 via 10.10.11.2 dev tun1
10.10.11.2 dev tun1  proto kernel  scope link  src 10.10.11.1
10.10.13.0/24 via 10.10.13.2 dev tun0
10.10.13.2 dev tun0  proto kernel  scope link  src 10.10.13.1
10.10.15.0/24 via 10.10.15.2 dev tun2
10.10.15.2 dev tun2  proto kernel  scope link  src 10.10.15.1
192.168.1.0/24 dev em1  proto kernel  scope link  src 192.168.1.215
root@server:/home/artem-moskvin# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
root@server:/home/artem-moskvin# sudo iptables-save
# Generated by iptables-save v1.4.12 on Mon Feb 11 20:29:57 2013
*mangle
:PREROUTING ACCEPT [1777242:427787750]
:INPUT ACCEPT [1761741:416407349]
:FORWARD ACCEPT [15501:11380401]
:OUTPUT ACCEPT [1050434:2739028551]
:POSTROUTING ACCEPT [1066913:2750483169]
COMMIT
# Completed on Mon Feb 11 20:29:57 2013
# Generated by iptables-save v1.4.12 on Mon Feb 11 20:29:57 2013
*filter
:INPUT ACCEPT [1756975:416034173]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1050435:2739028755]
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp -m multiport --ports 9000 -j ACCEPT
-A INPUT ! -s 192.168.1.0/24 -p tcp -m tcp -m multiport --ports 9000 -j REJECT -                                                                                        -reject-with icmp-port-unreachable
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT ! -s 192.168.1.0/24 -p tcp -m tcp -m multiport --ports 10000
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 8088 -j ACCEPT
-A INPUT ! -s 192.168.1.0/24 -p tcp -m tcp -m multiport --ports 8088
-A FORWARD -s 10.10.13.0/24 -j ACCEPT
-A FORWARD -d 10.10.13.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Feb 11 20:29:57 2013
# Generated by iptables-save v1.4.12 on Mon Feb 11 20:29:57 2013
*nat
:PREROUTING ACCEPT [9959:841195]
:INPUT ACCEPT [9649:818545]
:OUTPUT ACCEPT [50693:3155964]
:POSTROUTING ACCEPT [50693:3155964]
-A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215
COMMIT
# Completed on Mon Feb 11 20:29:57 2013
root@server:/home/artem-moskvin#

[ArcFi]

OK

Нужно сделать так, чтобы клиенты из 10.10.13.* видели три остальные сети.

Теперь надо смотреть таблицу маршрутизации на одном из этих клиентов.

[artem-moskvin]

OK

Нужно сделать так, чтобы клиенты из 10.10.13.* видели три остальные сети.

Теперь надо смотреть таблицу маршрутизации на одном из этих клиентов.

В данной конфигурации клиенты из 10.10.13.* видят 192.168.1.*
Думаю от т. маршрутизации это не зависит.

Как ее посмотреть на винде? Клиенты, увы, виндовые.

[ArcFi]

Как ее посмотреть на винде?

Код: [Выделить]

ipconfig & route print

[artem-moskvin]

Как ее посмотреть на винде?

Код: [Выделить]

ipconfig & route print

Windows, которая подключена в локалку 192.168.1.* и к 10.10.13.*
Простите, не знаю, как поправить кодировку. Могу скриншотом скинуть.

[ArcFi]

Простите, не знаю, как поправить кодировку. Могу скриншотом скинуть.

CP866 там, скринов не надо.
Впихну сюда для удобства:

(Нажмите, чтобы показать/скрыть)

Настройка протокола IP для Windows


Адаптер беспроводной локальной сети Беспроводное сетевое соединение 2:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Ethernet adapter OpenVPN:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 10.10.13.6
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Основной шлюз. . . . . . . . . : 10.10.11.33

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.200
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.20

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : luka1998.local

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   IPv6-адрес. . . . . . . . . . . . : 2001:0:5ef5:79fd:55:2c6f:a4b0:1d6f
   Локальный IPv6-адрес канала . . . : fe80::55:2c6f:a4b0:1d6f%16
   Основной шлюз. . . . . . . . . : ::

Туннельный адаптер isatap.luka1998.local:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{A8D979D5-68FA-4428-AD82-42082F10CBBF}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{0C75E2EA-88F3-4DA5-8D0D-F9C9E43CCA6F}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{C39837E0-A0F8-426C-A6F2-20C90312BA1A}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
===========================================================================
Список интерфейсов
 22...08 ed b9 f9 db d5 ......Microsoft Virtual WiFi Miniport Adapter
 18...00 ff a8 d9 79 d5 ......TAP-Win32 Adapter V9
 15...08 ed b9 f9 db d5 ......Сетевой адаптер Broadcom 802.11n
 11...b8 88 e3 9f 66 1b ......Broadcom NetLink (TM) Gigabit Ethernet
  1...........................Software Loopback Interface 1
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 21...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 23...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.10.11.33       10.10.13.6    286
          0.0.0.0          0.0.0.0     192.168.1.20    192.168.1.200     25
          0.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30
       10.10.13.0    255.255.255.0       10.10.13.5       10.10.13.6     30
       10.10.13.4  255.255.255.252         On-link        10.10.13.6    286
       10.10.13.6  255.255.255.255         On-link        10.10.13.6    286
       10.10.13.7  255.255.255.255         On-link        10.10.13.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30
      192.168.1.0    255.255.255.0         On-link     192.168.1.200    281
    192.168.1.200  255.255.255.255         On-link     192.168.1.200    281
    192.168.1.215  255.255.255.255     192.168.1.20    192.168.1.200     25
    192.168.1.255  255.255.255.255         On-link     192.168.1.200    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.10.13.6    286
        224.0.0.0        240.0.0.0         On-link     192.168.1.200    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.10.13.6    286
  255.255.255.255  255.255.255.255         On-link     192.168.1.200    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      10.10.11.33  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 16     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 16     58 2001::/32                On-link
 16    306 2001:0:5ef5:79fd:55:2c6f:a4b0:1d6f/128
                                    On-link
 16    306 fe80::/64                On-link
 16    306 fe80::55:2c6f:a4b0:1d6f/128
                                    On-link
  1    306 ff00::/8                 On-link
 16    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

***
Короче, 3 варианта:
1) прописываем маршруты до всех нужных сетей на каждом из клиентов, либо руками, либо скриптами, либо через DHCP, если осилите;
2) прописываем маршруты до всех нужных сетей на дефолтном шлюзе;
3) если возможно, делаем этот шлюз дефолтным, и все проблемы решаются сами собой.

[artem-moskvin]

Простите, не знаю, как поправить кодировку. Могу скриншотом скинуть.

CP866 там, скринов не надо.
Впихну сюда для удобства:

(Нажмите, чтобы показать/скрыть)

Настройка протокола IP для Windows


Адаптер беспроводной локальной сети Беспроводное сетевое соединение 2:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Ethernet adapter OpenVPN:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 10.10.13.6
   Маска подсети . . . . . . . . . . : 255.255.255.252
   Основной шлюз. . . . . . . . . : 10.10.11.33

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.200
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.20

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : luka1998.local

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   IPv6-адрес. . . . . . . . . . . . : 2001:0:5ef5:79fd:55:2c6f:a4b0:1d6f
   Локальный IPv6-адрес канала . . . : fe80::55:2c6f:a4b0:1d6f%16
   Основной шлюз. . . . . . . . . : ::

Туннельный адаптер isatap.luka1998.local:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{A8D979D5-68FA-4428-AD82-42082F10CBBF}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{0C75E2EA-88F3-4DA5-8D0D-F9C9E43CCA6F}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{C39837E0-A0F8-426C-A6F2-20C90312BA1A}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
===========================================================================
Список интерфейсов
 22...08 ed b9 f9 db d5 ......Microsoft Virtual WiFi Miniport Adapter
 18...00 ff a8 d9 79 d5 ......TAP-Win32 Adapter V9
 15...08 ed b9 f9 db d5 ......Сетевой адаптер Broadcom 802.11n
 11...b8 88 e3 9f 66 1b ......Broadcom NetLink (TM) Gigabit Ethernet
  1...........................Software Loopback Interface 1
 16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 21...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 23...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.10.11.33       10.10.13.6    286
          0.0.0.0          0.0.0.0     192.168.1.20    192.168.1.200     25
          0.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30
       10.10.13.0    255.255.255.0       10.10.13.5       10.10.13.6     30
       10.10.13.4  255.255.255.252         On-link        10.10.13.6    286
       10.10.13.6  255.255.255.255         On-link        10.10.13.6    286
       10.10.13.7  255.255.255.255         On-link        10.10.13.6    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30
      192.168.1.0    255.255.255.0         On-link     192.168.1.200    281
    192.168.1.200  255.255.255.255         On-link     192.168.1.200    281
    192.168.1.215  255.255.255.255     192.168.1.20    192.168.1.200     25
    192.168.1.255  255.255.255.255         On-link     192.168.1.200    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.10.13.6    286
        224.0.0.0        240.0.0.0         On-link     192.168.1.200    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.10.13.6    286
  255.255.255.255  255.255.255.255         On-link     192.168.1.200    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      10.10.11.33  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
 16     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 16     58 2001::/32                On-link
 16    306 2001:0:5ef5:79fd:55:2c6f:a4b0:1d6f/128
                                    On-link
 16    306 fe80::/64                On-link
 16    306 fe80::55:2c6f:a4b0:1d6f/128
                                    On-link
  1    306 ff00::/8                 On-link
 16    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

***
Короче, 3 варианта:
1) прописываем маршруты до всех нужных сетей на каждом из клиентов, либо руками, либо скриптами, либо через DHCP, если осилите;
2) прописываем маршруты до всех нужных сетей на дефолтном шлюзе;
3) если возможно, делаем этот шлюз дефолтным, и все проблемы решаются сами собой.

Этот сервер и так дефолтный. Меня не пускает из 192.168.1.* в 10.10.*.*.

[ArcFi]

Нужно сделать так, чтобы клиенты из 10.10.13.* видели три остальные сети.

Меня не пускает из 192.168.1.* в 10.10.*.*.

Давайте определимся с целями. Это, вообще говоря, разные задачи.

[_rod_]

Шлюзом по умолчанию на виндовых клиентах д.б. адрес сервера в этой сети, тогда и имеет смысл роутить только на сервере. Иначе - на каждом клиенте маршрут прописывать (что есть моветон)

[ArcFi]

Этот сервер и так дефолтный.

В каком месте?

Адрес сервера:
10.10.11.1
10.10.13.1
10.10.15.1
192.168.1.215

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.10.11.33       10.10.13.6    286
          0.0.0.0          0.0.0.0     192.168.1.20    192.168.1.200     25
          0.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30

[_rod_]

Поправьте, если я неправильно понял - 192,168.... беспровод, а 10,10.*.*. проводные сети, так?
Надо включить форвардинг на этой винде.
Чтобы

сделать так, чтобы клиенты из 10.10.13.* видели три остальные сети.

- это уже включаешь форвардинг на сервере.
Я понял, что это вы пытались решить 2 разных вопроса в одном...

[artem-moskvin]

Так. Попробую объяснить еще раз, более конкретно.
ETH1: 192.168.1.215
TUN1: 10.10.11.1

IP клиента в локалке: 192.168.1.200
Хочу с него добиться доступа к 10.10.11.29.

На 192.168.1.200 Gateway: 192.168.1.215 (Уже).
Пользователь решил продолжить мысль 11 Февраля 2013, 22:54:23:

Этот сервер и так дефолтный.

В каком месте?

Адрес сервера:
10.10.11.1
10.10.13.1
10.10.15.1
192.168.1.215

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.10.11.33       10.10.13.6    286
          0.0.0.0          0.0.0.0     192.168.1.20    192.168.1.200     25
          0.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30

Поправьте, если я неправильно понял - 192,168.... беспровод, а 10,10.*.*. проводные сети, так?
Надо включить форвардинг на этой винде.
Чтобы

сделать так, чтобы клиенты из 10.10.13.* видели три остальные сети.

- это уже включаешь форвардинг на сервере.
Я понял, что это вы пытались решить 2 разных вопроса в одном...

192.168.1.* -- Роутер. Роутит инет ко мне в сеть.
10.10.*.* -- OVPN сети.
Пользователь решил продолжить мысль 11 Февраля 2013, 22:57:59:ВОТ карта сети.

[AnrDaemon]

iptables-save показуйте.