VPN и 3 сетевухи

[Ve0]

Стоит сервер. На сервере 3 сетевузи:
1. стоит для внешней сети. из которой я забираю интернет (eth0)
2. стоит для внутренней сети, но вещает в другую глобальную сеть (у меня ипы другие) использую сеть как связь из другой квартиры с сервером + управление сервером по Intel Pro (eth1)
3. стоит hostapd и сетевушка wlan0

wlan0 и eth1 стоят в бридже (br0)

идея такая: мне нужно на eth1 поднять vpn, чтобы шифровать трафик. но вот как настроить все? куда и как прописать iptables чтобы был интернет только на vpn и wlan0? а на eth1 небыло ничего.

или может у кого нибудь есть какие нибудь решения?

Подключаться к vpn буду с помощью роутера, т.е. еще одна сеть.

[mr_lexus]

может я чего то и не понимаю, но что мешает сделать инет на нужных интерфейсах проброской портов в iptables ? пробросил в фаерволе нужные интфейсы на eth0 и всё, вот тебе  и будет интернет только на тех интерфейсах которые пробросил.
или я вас не так понял ?

[Ve0]

сейчас у меня такая схема: eth0 вещает в сеть где тырнет, вещает на br0. откуда я тупо беру тырнет, прописав шлюз и днс на свой сервак.

проблема в том, что каждый может прописать эти параметры и юзать тырнет... а мне нужно как то контролировать трафик, и шифровать его.

еще раз оговорюсь, что eth1 вещает в другую локальную сеть (порядка 4000 компов), только у меня изменены ip. у них в сети 10.255.255.255, у меня 192.168.1.255. я хочу юзать локально эту сеть, но иметь тырнет со своего сервера...

Мои iptables:

*filter
-A FORWARD -s 192.168.1.0/255.255.255.0 -o eth0 -j ACCEPT
-A FORWARD -m conntrack -d 192.168.1.0/255.255.255.0 -i eth0 -j ACCEPT  --ctstate ESTABLISHED,RELATED
*nat
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE

[mr_lexus]

т.е. как я понял из дома (192.168.1.255) хочешь юзать инет с сервака из сетки (10.255.255.255) ? я прально понял ?
Если всё так, то поднимай vpn и фаерволе припиши проброску на vpn_iface на назначение <твой_vpn_ip>
приведи ifconfig, чтобы мне понятнее было

[Ve0]

Я хочу между сервером и роутером vpn. чтобы юзать dhcp. т.к. если я включу сейчас dhcp, то многие пользователи будут юзать мою локалку.

и хочу на eth1 и роутере иметь адреса той локальной сети... т.е. 10... и т.д.

[mr_lexus]

ну дык поднимай openvpn прописывай маршрут в нём и на iptables
iptables -i eth1-o tun0 -j ACCEPT
iptabels -i tun0 eth1-j ACCEPT

а в конфиге Vpn
push route"10.... 255.255...."
и получится что твой камп подключившись по vpn Будешь видеть сетку 10...
дальше прописываешь шлюз нужного тебе сервака.
вроде так, если я тебя прально понимаю.

[podkovyrsty]

Роутер аппаратный? тогда не факт что он к openvpn подключится и получит маршруты, но гипотетически это возможно.

при поднятии впн туннеля на сервере появится интерфейс впн подключения, например tun0, сквозь который, сервер будет видеть роутер и наоборот.

для того, чтобы получить инет только на впн, тебе нужно поднять впн сервер, слушающий подключения только с интерфейса eth1, и разрешить форвардинг пакетов между tun0 <-> eth0.

[mr_lexus]

ну собственно как я и написал

[Ve0]

Попробую объяснить еще раз.


По этому рисунку: из сети 4 подается интернет на сеть 1. Из сети 1 интернет раздается на 2 сетевых интерфейса (eth1 и wlan0, которые объеденены в br0). C eth1 идет линк в сеть 3 но с другими ip, и прописаны ip сети 1. в сети 2 на роутере прописаны статические ip сети 1.

Мне нужно между сетью 1 и сетью 2 сделать vpn. Но мне нужно на ване роутера и на eth1 прописать ip сети 3, чтобы сеть 3 была мне тоже видна. и чтобы я мог включить dhcp только на vpn, и dhcp не светился в сеть 3.

Пипец! Я уже не знаю как проще обяснить. Может если не понятно, то подскажите как проще объяснить?

Заранее спасибо всем кто помогает! )

[podkovyrsty]

Я правильно понял?

Внизу роутер, tun - это впн туннель.

[Ve0]

внизу роутер ASUS.

[podkovyrsty]

ну так поднимайте впн сервер

если ты находишься в 192.168.2.0, то сквозь маршрутизатор сможешь попасть и в сеть3, в нешифрованном режиме, и в туннель. А куда сможешь попасть из туннеля? Да хоть куда, с того конца, который на сервере, можно дать доступ хоть к eth0, хоть на луну, хоть к wlan0, хоть к любому из ip-шников, повешенных на eth1. И, соответственно, ограничить - кто куда и как может или не может попасть.

Для туннеля нужен впн-сервер, для всего остального есть мастеркард файрволл.

[Ve0]

И, соответственно, ограничить - кто куда и как может или не может попасть.

В принципе в этом то и вопрос. Потому что openvpn я поставил, но пока не настроил. Пока не совсем понимаю как все это разрулить.

[podkovyrsty]

Прочитай руководство по iptables например, там все достаточно ясно,

есть 3 цепочки таблиц с правилами - для входящего (input), исходящего (output), и сквозного (forward) траффика, входящие и исходящие относятся непосредственно к машине на которой фаер запущен, сквозная цепочка отвечает за то, что пропускать, а что не пропускать, и если пропускать, то как, через эту машину. В цепочках есть таблицы, в которых и находятся конкретные правила. Заодно узнаешь что такое NAT и нафига оно надо.

сам форвардинг к файрволлу не имеет никакого отношения и включается так

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
когда настроишь впн и получишь набор интерфейсов, типа eth0 eth1 wlan0 tun0, составляй таблицу маршрутизации, включай форвардинг и пиши правила - что, куда и откуда.

распиши сначала на бумаге, в понятном для себя виде, а потом по порядку настраивай: интерфейсы - маршруты - файрволл

[Ve0]

Разрулил я это все... немного помучался, но заняло это у меня ровно 2 часа.

Разбил бридж. Поставил исключение (не раздовать IP) DHCP на eth1 и на нем же поднял pptpd. pptpd настроил на свою внутреннюю сеть. iptables даже не трогал. В итоге все заработало! ))) DHCP раздает ip на wi-fi и на интерфейсы ppp0 и т.д. Работают все три сетки!)))) Рад как стадо слонов! Спасибо всем кто помогал! )))))

Сецчас пойду пробовать дружить роутер ASUS со своим pptpd. Но это уже другая история. )))
Пользователь решил продолжить мысль 14 Апреля 2010, 23:30:53:хм... все подружилось без проблем... но вот скорость передачи данных слишком медленная... подскажите куда рыть?