Jump to content
Sign in to follow this  
handler

vpn-туннели и роутинг (или форвардинг)

Recommended Posts

Здравствуйте!

имеем роутер на базе Fedora10 +

eth0 - локальная сеть

eth1-eth4 - подключены к адсл-модемам

Описаны 4 таблицы маршрутизации для 4 интерфейсов и пакеты маркируются 4-мя метками для роутинга на внешние интерфейсы - вобщем, до сих пор все как по учебнику.

Теперь мы создаем vpn-туннели на локальном интерфейсе и прописываем для них правила в iptables:

эти строки необходимы для создания vpn-туннеля:

#${FW} -A INPUT -i $IF_PPP -s $NET_PPP -j ACCEPT

#${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p gre -j ACCEPT

#${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p tcp --dport 1723 -j ACCEPT

#${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p udp --dport 1723 -j ACCEPT

#${FW} -A OUTPUT -o $IF_PPP -d $NET_PPP -j ACCEPT

#${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p gre -j ACCEPT

#${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p tcp --sport 1723 -j ACCEPT

#${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p udp --sport 1723 -j ACCEPT

Собственно, форвардинг:

#${FW} -A FORWARD -i $IF_PPP -s $NET_PPP -d 0/0 -j ACCEPT

#${FW} -A FORWARD -s 0/0 -d $NET_PPP -m state --state ESTABLISHED,RELATED -j ACCEPT

И НАТ:

#${FW} -t nat -A POSTROUTING -s $NET_PPP -j SNAT --to-source $IP_PR1

Получаем интересную картину:

сам ppp-сервер пингуется;

сами адсл-модемы пингуются;

адреса eth1-eth4 и адреса в интернет НЕ пингуются.

/etc/ppp/options.pptpd поставил опцию "noproxyarp", а то при создании туннеля пишет "Cannot determine proxy arp"

Вывод каких команд Вам показать, чтобы иметь полную картину происходящего?

Share this post


Link to post
Share on other sites

Алексей писал(а) Sat, 31 October 2009 09:54

Здравствуйте!

имеем роутер на базе Fedora10 +

eth0 - локальная сеть

Получаем интересную картину:

сам ppp-сервер пингуется;

сами адсл-модемы пингуются;

адреса eth1-eth4 и адреса в интернет НЕ пингуются.

/etc/ppp/options.pptpd поставил опцию "noproxyarp", а то при создании туннеля пишет "Cannot determine proxy arp"

Вывод каких команд Вам показать, чтобы иметь полную картину происходящего?

Причина может быть в чём угодно. Даже в плохом контакте кабеля. Вы же, по сути, покзав на угад несколько правил, не даёте никакой информации.

Совершенно непонятно, что у Вас криво настроено: маршрутизация, правила фаревола, маркировка пакетов, vpn или всё это вместе взятое.

При такой непростой конфигурации сети настраивать её нужно ПОЭТАПНО, приступая к следующей задаче после того, как предыдущая решена и решение проверено. Например, фаревол для начала можно отключить вовсе.

И ещё, маршрутизацию в ядре (/proc/sys/net/ipv4/ip_forward) Вы не забыли включить?

Share this post


Link to post
Share on other sites

Вы совершенно правы - представленная мной картина ужасна.

Разобрался с фаерволом - теперь все работает.

Проблема, как всегда, в порядке следования правил...

теперь проблема с шейпером, точнее, в его упрощении.

Надо написать такой шейпер, чтобы он для каждого абонента выделял ограниченную полосу пропускания - и при этом не писать отдельно правила для каждого абонента...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...