Форум русскоязычного сообщества Ubuntu


Автор Тема: Помогите c iptables. Ч-з статику по vpn pptp пользователь не видит машины....  (Прочитано 382 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Доброго времени суток. Помогите решить проблему.

Есть роутер Ubuntu 14.04.5 LTS x86. Проблема в том, что если клиент подключается на статику роутера по pptp, то пользователь не видит машины (не пингует, не подключаеться удаленно...) кроме самого роутера. Если роутер перекинуть на pppoe, то все работает норм.
В файле "/etc/nat" если закомментировать строки с упоминанием о ppp0, то потом все тоже норм работает. Пришел к выводу, что проблема в правилах iptables. Может я их и сложу правильно, но на это мне потребуется очень много времени и вот решил обратиться к профессионалам за помощью. Памагите!)

/etc/nat:
(Нажмите, чтобы показать/скрыть)

/etc/network/interfaces:
(Нажмите, чтобы показать/скрыть)

iptables-save:
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Настройки PPTP сервера показывайте.
И нормально опишите структуру сети, чтобы мы не гадали.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
ага, я бы ещё и ip a; ip r посмотрел при подключенном клиенте
Хотя в общем-то и так понятно, что ppp0 не всегда интернет и проблема решается привязкой интернет-соединения к более "дальним" ppp.
« Последнее редактирование: 22 Февраль 2017, 17:05:28 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27415
    • Просмотр профиля
Мне пока ничего не понятно, а гадать не люблю.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн vet_fbi

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
AnrDaemon,

/etc/pptpd.conf:
(Нажмите, чтобы показать/скрыть)

/etc/ppp/pptpd-options:
(Нажмите, чтобы показать/скрыть)

/etc/ppp/options:
(Нажмите, чтобы показать/скрыть)

Подгружал модуль:
(Нажмите, чтобы показать/скрыть)

Структура сети - простая односегментная. Роутер Ubuntu 14.04.5 LTS x86 (На нем bind9, isc-dhcp-server, ssh, pptpd), в сети (192.168.1.0/24) имеется одна машина берущая ip по дхцп. Настроено два внешних интерфейса на две сетевухи: один ppp0 (pppoe), друго й статический (eth1) Снаружи ломится на роутер по пптп еще одна машина, чтобы подключиться к машине внутри сети. Вроде все.

P.S.: Если на внешнем интерфейсе роутера работает ppp0, то клиент перед натом, подключен по pptp, видит в сети машину; если на внешнем интерфейсе роутера работает статика eth1, клиент не видит машину. Это на всякий случай, если вдруг не было понятно.

fisher74,

ip a:
(Нажмите, чтобы показать/скрыть)

ip r:
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 23 Февраль 2017, 11:08:59 от vet_fbi »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Собственно так как я и предполагал.
pppoe-соединение, видимо, до некоторых пор, было основным источником интернета и всё прекрасно работало.
Возможно, в том числе и pptp.
С этой целью были замутки в правилах netfilter, а именно выравнивание mtu, маскарадинг и минимальная защита локальной сети (сам шлюз не защищается)
(Нажмите, чтобы показать/скрыть)
Причём, по pptp можно было подключиться исключительно при работоспособном pppoe, т.е. при поднятом интерфейсе ppp0.
Всё бы здорово, но с отказом от pppoe (основным источником теперь становится eth1), интерфейс ppp0 освободился и его начинает использовать pptp. И вот тут начинается засада: ppp0 в правилах netfilter интерпретируется как возможный источник внешней агрессии и блокирует все пакеты неустановленных соединений  направленные через него в локальную сеть.

Возможное решение зависит от необходимости pppoe-соединения. Если оно далее не будет использоваться, то тупо удаляем защитные и маскарадинговые правила для этого интерфейса. Если в нём необходимость осталась, то можно привязать его в какому-нибудь интерфейсу (например ppp100) и перепилить вышеозвученные правила на него (я бы сказал, что это действие нужно было сделать в момент принятия решения использования pptp, а не к моменту отказа от pppoe).
« Последнее редактирование: 23 Февраль 2017, 11:35:47 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.293 секунд. Запросов: 25.