Перейти к содержанию

vpn-туннели и роутинг (или форвардинг)


Рекомендуемые сообщения

Здравствуйте!

имеем роутер на базе Fedora10 +

eth0 - локальная сеть

eth1-eth4 - подключены к адсл-модемам

Описаны 4 таблицы маршрутизации для 4 интерфейсов и пакеты маркируются 4-мя метками для роутинга на внешние интерфейсы - вобщем, до сих пор все как по учебнику.

Теперь мы создаем vpn-туннели на локальном интерфейсе и прописываем для них правила в iptables:

эти строки необходимы для создания vpn-туннеля:

#${FW} -A INPUT -i $IF_PPP -s $NET_PPP -j ACCEPT

#${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p gre -j ACCEPT

#${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p tcp --dport 1723 -j ACCEPT

#${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p udp --dport 1723 -j ACCEPT

#${FW} -A OUTPUT -o $IF_PPP -d $NET_PPP -j ACCEPT

#${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p gre -j ACCEPT

#${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p tcp --sport 1723 -j ACCEPT

#${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p udp --sport 1723 -j ACCEPT

Собственно, форвардинг:

#${FW} -A FORWARD -i $IF_PPP -s $NET_PPP -d 0/0 -j ACCEPT

#${FW} -A FORWARD -s 0/0 -d $NET_PPP -m state --state ESTABLISHED,RELATED -j ACCEPT

И НАТ:

#${FW} -t nat -A POSTROUTING -s $NET_PPP -j SNAT --to-source $IP_PR1

Получаем интересную картину:

сам ppp-сервер пингуется;

сами адсл-модемы пингуются;

адреса eth1-eth4 и адреса в интернет НЕ пингуются.

/etc/ppp/options.pptpd поставил опцию "noproxyarp", а то при создании туннеля пишет "Cannot determine proxy arp"

Вывод каких команд Вам показать, чтобы иметь полную картину происходящего?

Ссылка на комментарий
Поделиться на другие сайты

Алексей писал(а) Sat, 31 October 2009 09:54

Здравствуйте!

имеем роутер на базе Fedora10 +

eth0 - локальная сеть

Получаем интересную картину:

сам ppp-сервер пингуется;

сами адсл-модемы пингуются;

адреса eth1-eth4 и адреса в интернет НЕ пингуются.

/etc/ppp/options.pptpd поставил опцию "noproxyarp", а то при создании туннеля пишет "Cannot determine proxy arp"

Вывод каких команд Вам показать, чтобы иметь полную картину происходящего?

Причина может быть в чём угодно. Даже в плохом контакте кабеля. Вы же, по сути, покзав на угад несколько правил, не даёте никакой информации.

Совершенно непонятно, что у Вас криво настроено: маршрутизация, правила фаревола, маркировка пакетов, vpn или всё это вместе взятое.

При такой непростой конфигурации сети настраивать её нужно ПОЭТАПНО, приступая к следующей задаче после того, как предыдущая решена и решение проверено. Например, фаревол для начала можно отключить вовсе.

И ещё, маршрутизацию в ядре (/proc/sys/net/ipv4/ip_forward) Вы не забыли включить?

Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...

Вы совершенно правы - представленная мной картина ужасна.

Разобрался с фаерволом - теперь все работает.

Проблема, как всегда, в порядке следования правил...

теперь проблема с шейпером, точнее, в его упрощении.

Надо написать такой шейпер, чтобы он для каждого абонента выделял ограниченную полосу пропускания - и при этом не писать отдельно правила для каждого абонента...

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...