handler Опубликовано 31 октября, 2009 Жалоба Поделиться Опубликовано 31 октября, 2009 Здравствуйте! имеем роутер на базе Fedora10 + eth0 - локальная сеть eth1-eth4 - подключены к адсл-модемам Описаны 4 таблицы маршрутизации для 4 интерфейсов и пакеты маркируются 4-мя метками для роутинга на внешние интерфейсы - вобщем, до сих пор все как по учебнику. Теперь мы создаем vpn-туннели на локальном интерфейсе и прописываем для них правила в iptables: эти строки необходимы для создания vpn-туннеля: #${FW} -A INPUT -i $IF_PPP -s $NET_PPP -j ACCEPT #${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p gre -j ACCEPT #${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p tcp --dport 1723 -j ACCEPT #${FW} -A INPUT -i $IF_LOCAL -s $DHCP_NET -p udp --dport 1723 -j ACCEPT #${FW} -A OUTPUT -o $IF_PPP -d $NET_PPP -j ACCEPT #${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p gre -j ACCEPT #${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p tcp --sport 1723 -j ACCEPT #${FW} -A OUTPUT -o $IF_LOCAL -d $DHCP_NET -p udp --sport 1723 -j ACCEPT Собственно, форвардинг: #${FW} -A FORWARD -i $IF_PPP -s $NET_PPP -d 0/0 -j ACCEPT #${FW} -A FORWARD -s 0/0 -d $NET_PPP -m state --state ESTABLISHED,RELATED -j ACCEPT И НАТ: #${FW} -t nat -A POSTROUTING -s $NET_PPP -j SNAT --to-source $IP_PR1 Получаем интересную картину: сам ppp-сервер пингуется; сами адсл-модемы пингуются; адреса eth1-eth4 и адреса в интернет НЕ пингуются. /etc/ppp/options.pptpd поставил опцию "noproxyarp", а то при создании туннеля пишет "Cannot determine proxy arp" Вывод каких команд Вам показать, чтобы иметь полную картину происходящего? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
gogi Опубликовано 31 октября, 2009 Жалоба Поделиться Опубликовано 31 октября, 2009 Алексей писал(а) Sat, 31 October 2009 09:54 Здравствуйте! имеем роутер на базе Fedora10 + eth0 - локальная сеть Получаем интересную картину: сам ppp-сервер пингуется; сами адсл-модемы пингуются; адреса eth1-eth4 и адреса в интернет НЕ пингуются. /etc/ppp/options.pptpd поставил опцию "noproxyarp", а то при создании туннеля пишет "Cannot determine proxy arp" Вывод каких команд Вам показать, чтобы иметь полную картину происходящего? Причина может быть в чём угодно. Даже в плохом контакте кабеля. Вы же, по сути, покзав на угад несколько правил, не даёте никакой информации. Совершенно непонятно, что у Вас криво настроено: маршрутизация, правила фаревола, маркировка пакетов, vpn или всё это вместе взятое. При такой непростой конфигурации сети настраивать её нужно ПОЭТАПНО, приступая к следующей задаче после того, как предыдущая решена и решение проверено. Например, фаревол для начала можно отключить вовсе. И ещё, маршрутизацию в ядре (/proc/sys/net/ipv4/ip_forward) Вы не забыли включить? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
handler Опубликовано 27 ноября, 2009 Автор Жалоба Поделиться Опубликовано 27 ноября, 2009 Вы совершенно правы - представленная мной картина ужасна. Разобрался с фаерволом - теперь все работает. Проблема, как всегда, в порядке следования правил... теперь проблема с шейпером, точнее, в его упрощении. Надо написать такой шейпер, чтобы он для каждого абонента выделял ограниченную полосу пропускания - и при этом не писать отдельно правила для каждого абонента... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.