[Cramac]

Всем привет.

подсобите советом.

Есть абоненты, с адресами 10.0.0.0/8

есть сервер доступа, на нем:

91.228.х.254 внешний для реальных адресов клиентов

есть нат. Клиенты подключаются по ипое, им выдаются адреса 192.168.0.0/16

 

Таблица ната:

Цитата

 iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            77.88.8.8            match-set l4redirect src
ACCEPT     tcp  --  0.0.0.0/0            8.8.8.8              match-set l4redirect src
ACCEPT     tcp  --  0.0.0.0/0            91.228.х.15         match-set freewifi src
ACCEPT     tcp  --  0.0.0.0/0            91.228.х.14         match-set freewifi src
ACCEPT     tcp  --  0.0.0.0/0            10.10.10.1           match-set l4redirect src
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set Allow_user src
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            match-set Allow_user dst
ACCEPT     all  --  0.0.0.0/0            8.8.8.8
ACCEPT     tcp  --  0.0.0.0/0            91.228.х.14         match-set l4redirect src
ACCEPT     tcp  --  0.0.0.0/0            91.228.х.15         match-set l4redirect src
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            match-set freewifi src redir ports 8001
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            match-set l4redirect src redir ports 8002

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.0.0/16       0.0.0.0/0            to:188.254.х.42
SNAT       all  --  172.0.0.0/8          0.0.0.0/0            to:188.254.х.42
SNAT       all  --  10.0.0.0/8           0.0.0.0/0            to:188.254.х.42
SNAT       all  --  10.0.0.0/8           0.0.0.0/0            to:172.31.255.111
SNAT       all  --  192.168.0.0/16       0.0.0.0/0            to:172.31.255.111
 

Цитата

~# iptables -t mangle -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0            match-set revblock-net-timeout src
MARK       all  --  10.10.10.31          0.0.0.0/0            MARK set 0x4
MARK       all  --  192.168.15.17        0.0.0.0/0            MARK set 0x4
MARK       all  --  192.168.14.0/24      0.0.0.0/0            MARK set 0x4
MARK       all  --  192.168.6.0/24       0.0.0.0/0            MARK set 0x4
MARK       all  --  192.168.15.80        0.0.0.0/0            MARK set 0x4
MARK       all  --  192.168.7.12         0.0.0.0/0            MARK set 0x4

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

188.254.х.42 - аплинк 1

172.31.255.111 - аплинк 2, по маркировке 4

 

сервер 91.228.х.14/15 ЛК, вот к ним и есть проблема с доступом

Цитата

root@vpn:~# ip ro get 91.228.х.15
91.228.х.15 dev ens6f0  src 91.228.х.254
    cache
root@vpn:~# ip ro get 91.228.х.15 mark 4
91.228.х.15 via 172.31.255.101 dev enp5s0  src 172.31.255.111  mark 4
    cache

 

пинги с клиентов ходят до 91.228.х.15, но веб не открывается. Попытки 2-3 и открывается, чуток поработает и опять затык.

Куда копать?