MASQUERADE

[c2h5oh98]

Проблема в следующем:
На сервере задаю маскарадинг

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Все работает нормально
Но при задании маскарадинга только для пользователей VPN-тунеля

sudo iptables -t nat -A POSTROUTING -o eth0 --destination 192.168.3.0/24 -j MASQUERADE

Все работает тоже нормально с одним "но"
mail.ru пингуеться по имени и по ip но открываться никак не хочет, в предыдущем варианте такой проблемы нет
Подскажите пожалуйста, в чем причина такого поведения

[Nickollla]

я так понимаю у тебя vpn сервак к которому цепляются люди для инета с выдаваемыми им ипами 192.168.3.0/24
то правило будет вида :
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -j MASQUERADE

[c2h5oh98]

Да именно так.
Клиентов пускает как надо.
Нашли проблему с mail.ru - у них максимальное mtu=1472
Осталось найти как его изменить для VPN-пользователей. /etc/network/interfeces не катит

[Nickollla]

Да именно так.
Клиентов пускает как надо.
Нашли проблему с mail.ru - у них максимальное mtu=1472
Осталось найти как его изменить для VPN-пользователей. /etc/network/interfeces не катит

mtu для vpn меняй соответсвенно в настройках  vpn софта.
Тепер по правилу из твоего поста выше . Сам посуди оно не правильное ну никак
вот твое iptables -t nat -A POSTROUTING -o eth0 --destination 192.168.3.0/24 -j MASQUERADE
разберем его. я так понимаю за интерфейсом eth0 находится  инет и тогда выходит : если исходящий интерфейс eth0 и ip адреса назначения 192.168.3.0/24  то делать маскарад, а теперь вопрос как за интерфейсом eth0 (за ним инет) будут 192.168.3.0/24 . Ответ прост НИКАК. Правило iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE работать будет на ура.
Еще про mtu. Установка по дефолту pptpd в Ubuntu пашет нормально только если отключить шифрование трафика со стороны сервака и клиента иначе трабла с mtu Чтобы пахала с шифрованием нужен патч

[Гарри Кашпировский]

Осталось найти как его изменить для VPN-пользователей. /etc/network/interfeces не катит

Добавьте в правила iptables строчку

Код: [Выделить]

iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtuИногда помогает, без ковыряния конфигов.

[c2h5oh98]

Тепер по правилу из твоего поста выше . Сам посуди оно не правильное ну никак
вот твое iptables -t nat -A POSTROUTING -o eth0 --destination 192.168.3.0/24 -j MASQUERADE
разберем его. я так понимаю за интерфейсом eth0 находится  инет и тогда выходит : если исходящий интерфейс eth0 и ip адреса назначения 192.168.3.0/24  то делать маскарад, а теперь вопрос как за интерфейсом eth0 (за ним инет) будут 192.168.3.0/24 . Ответ прост НИКАК. Правило iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE работать будет на ура.

Да с маскарадингом ошибся нужно было
 iptables -t nat -A POSTROUTING -o eth0 --source 192.168.3.0/24 -j MASQUERADE
По поводу шыфрования попробую.

параметр
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
решил проблему частично, тоесть на qip.ru - пустил, а на mail.ru - нет