[breusovok]

Была такая же фигня, промучился год, перешел на SE100, забыл.

[EShirokiy]

@zlolotus зайдите в чатик в телеграме, там быстрее помогут.

[zlolotus]

В 02.11.2019 в 17:34, EShirokiy сказал:

@zlolotus зайдите в чатик в телеграме, там быстрее помогут.

спасибо

[VadimIV]

Господа, есть accel pptp, клиент получает атрибутом радиуса ip. Плюс есть /24 подсеть белых ip внутри используются соответственно серые. Часть белых адресов используются для snat серых подсетей. А как сделать если клиент хочет себе белый адрес. Натолкните кто нить.

[zavndw]

просто выдать белый адрес этому клиенту, вместо серого

[VadimIV]

to zavndw

Это понятно, он выдается, но при этом инета нет у клиента. Какие должны быть правила iptables?. Шлюз белой подсети тоже присваивается. Как белые адреса у клиента должны вообще работать, поделитесь кто нить знанием.

[zavndw]

3 часа назад, VadimIV сказал:

to zavndw

Это понятно, он выдается, но при этом инета нет у клиента. Какие должны быть правила iptables?. Шлюз белой подсети тоже присваивается. Как белые адреса у клиента должны вообще работать, поделитесь кто нить знанием.

там только FORWARD для белого адреса надо разрешить, если у вас ворвард по дефолту запрещен. Если эта сеть и так на брасе то все.

[agent2011]

В 17.03.2020 в 07:13, VadimIV сказал:

to zavndw

Это понятно, он выдается, но при этом инета нет у клиента. Какие должны быть правила iptables?. Шлюз белой подсети тоже присваивается. Как белые адреса у клиента должны вообще работать, поделитесь кто нить знанием.

iptables -A FORWARD -i ppp+ -s ваш ип -j ACCEPT - разрешаем доступ абоненту к Интернету

iptables -A INPUT -i ppp+ -s ваш ип -j ACCEPT - для белого ИП

 

если используете ipset

 

создаем списки:
iptables -A FORWARD -i ppp+ -m set --match-set ppp src -j ACCEPT
iptables -A FORWARD -m set --match-set white dst -j ACCEPT

добавляем в списки правила:
ipset -A ppp ваш ип - разрешаем доступ

ipset -A white ваш ип - белый ип

 

возможно пригодится включить proxyarp на интерфейс вышестоящего:

sudo echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

Изменено 21 марта, 2020 пользователем agent2011

[VadimIV]

to agent2011

Спасибо тебе большое proxy_arp решил проблему

[vovkas]

Проблема: accel pppd в качестве сервера l2tp и 2 клиента за одним NAT . 2ой юзер не может подключится. Я так понимаю это из-за того что у обоих один и тот же айпишник и порт (2ой клиент с IOS подключается, так как IOS использует случайные порты, а не только 1701).  Есть решение? xl2tpd в такой ситуации работает нормально.

[Cramac]

Приветствую. Подскажите, как промаркировать трафик и распределить по маршрутам?

На сервере два линка.

Задача клиентов что не получают при коннекте внешний адрес, завернуть по другому маршруту.

 

# ip rule show; ip route show table all type unicast
0:      from all lookup local
32765:  from 172.31.255.2 lookup wan2
32766:  from all lookup main
32767:  from all lookup default
default via 172.31.255.1 dev vlan900  table wan2
default via 188.254.31.241 dev eth1
10.0.0.0/8 via 10.10.10.254 dev eth0
 

Цитата

 accel-cmd show sessions
 ifname  |   username    |  calling-sid  |       ip       | type | comp | state  |  uptime
---------+---------------+---------------+----------------+------+------+--------+----------
 ipoe67  | 172.40.2.14   | 172.40.2.14   | 192.168.10.103 | ipoe |      | active | 23:58:40
 ipoe103 | 172.40.59.4   | 172.40.59.4   | 192.168.11.165 | ipoe |      | active | 23:57:46
 ipoe71  | 172.20.23.14  | 172.20.23.14  | 192.168.12.123 | ipoe |      | active | 23:54:33
 ipoe428 | 172.40.49.1   | 172.40.49.1   | 192.168.1.117  | ipoe |      | active | 23:50:14
 ipoe126 | 172.40.10.8   | 172.40.10.8   | 192.168.3.238  | ipoe |      | active | 23:46:48
 ipoe451 | 172.40.28.5   | 172.40.28.5   | 192.168.4.248  | ipoe |      | active | 23:45:58
 ipoe75  | 172.20.23.12  | 172.20.23.12  | 192.168.10.24  | ipoe |      | active | 23:43:28
 ipoe83  | 10.254.101.21 | 10.254.101.21 | 192.168.13.78  | ipoe |      | active | 23:42:43
 ipoe131 | 172.40.29.16  | 172.40.29.16  | 192.168.11.132 | ipoe |      | active | 23:40:59
 ipoe137 | 10.254.101.9  | 10.254.101.9  | 192.168.12.128 | ipoe |      | active | 23:40:50
 ipoe442 | 172.40.55.45  | 172.40.55.45  | 192.168.9.142  | ipoe |      | active | 23:37:57
 ipoe468 | 172.40.55.47  | 172.40.55.47  | 192.168.4.244  | ipoe |      | active | 23:37:55
 ipoe473 | 172.40.55.43  | 172.40.55.43  | 192.168.12.28  | ipoe |      | active | 23:37:55
 ipoe476 | 172.40.55.48  | 172.40.55.48  | 192.168.9.111  | ipoe |      | active | 23:37:38
 ipoe47  | 172.40.24.15  | 172.40.24.15  | 192.168.12.156 | ipoe |      | active | 23:37:28
 ipoe464 | 172.20.19.7   | 172.20.19.7   | 192.168.9.114  | ipoe |      | active | 23:26:49
 ipoe163 | 172.40.2.20   | 172.40.2.20   | 192.168.5.26   | ipoe |      | active | 23:26:38
 ipoe412 | 172.40.28.9   | 172.40.28.9   | 192.168.11.70  | ipoe |      | active | 23:26:14
 ipoe465 | 172.40.6.11   | 172.40.6.11   | 192.168.1.113  | ipoe |      | active | 23:24:08
 ipoe214 | 172.40.47.5   | 172.40.47.5   | 192.168.10.168 | ipoe |      | active | 23:23:22
 ipoe297 | 172.20.11.25  | 172.20.11.25  | 192.168.13.2   | ipoe |      | active | 23:21:21
 ipoe370 | 172.20.11.11  | 172.20.11.11  | 192.168.11.1   | ipoe |      | active | 23:20:53
 ipoe301 | 10.254.85.10  | 10.254.85.10  | 91.х.х.35   | ipoe |      | active | 23:20:48

iptables такой

Цитата

# iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            match-set l4redirect src redir ports 8001
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0            match-set freewifi src redir ports 8002

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  10.0.0.0/8           0.0.0.0/0            to:188.х.х.242
SNAT       all  --  172.0.0.0/8          0.0.0.0/0            to:188.х.х.242
SNAT       all  --  192.168.0.0/16       0.0.0.0/0            to:188.х.х.242

 

[sdy_moscow]

@Cramac Для PPtP красить трафик приходилось на каждом интерфейсе (прописывали в ipup скрипте).

С IPoE  не возился, но если они видны как интерфейсы - то видимо красить придется в каждом из них.

[Cramac]

@sdy_moscow так и предполагал. Как делали? Не поделитесь

[sdy_moscow]

@Cramac надо поискать давно это было....

[sdy_moscow]

@Cramac Приврал. Красили в интерфейсах для других задач вот так:
В ip-up

IPTABLES="/sbin/iptables"
DEV=$1
$IPTABLES -t mangle -D PREROUTING -i $DEV -p tcp --dport 80 -j MARK --set-mark 0x01

А с маршрутизацией и НАТом вот так примерно было:

в rc.firewall

#! /bin/sh
istest=""
#istest="echo "
fwcmd=${istest}"/usr/sbin/iptables ";
ipcmd=${istest}"/sbin/ip ";

net_cl_dirip_ln1="1.1.1.0/24 1.1.2.0/24"
net_cl_dirip_ln2="2.1.1.0/24 2.1.2.0/24"
net_cl_nat="192.168.1.0/24 192.168.2.0/24"

my_ip_inet_ln1="1.0.0.1"
my_ip_nat_ln1=$my_ip_inet_ln1
defgw_ln1="1.0.0.2"

my_ip_inet_ln2="2.0.0.1"
my_ip_nat_ln2=$my_ip_inet_ln2
defgw_ln2="2.0.0.2"

#===========================NAT+ROUTING
${fwcmd} -t nat -F PREROUTING
${fwcmd} -t nat -F POSTROUTING
${fwcmd} -t nat -F OUTPUT

${fwcmd} -t mangle -F PREROUTING

#mark prefix ln1
num_ip_mark_ln1=101

#========================== ROUTING
#marking
   for cur_val in ${net_cl_dirip_ln1} ; {
   ${fwcmd} -t mangle -A PREROUTING -s ${cur_val} -j MARK --set-mark ${num_ip_mark_ln1}; 
   };
#clear befor (for hot restart)
   ${ipcmd} rule del pref 100
   ${ipcmd} rule del pref 101
   ${ipcmd} rule del pref 102
# clear routing for ln1
   ${ipcmd} route del default table 252
# clear routing for ln2
   ${ipcmd} route del default table 253
#flush
   ${ipcmd} route flush cache
#add main routing table
   ${ipcmd} rule add table 254 pref 100
#redirect ln1 trafic to route table 252
   ${ipcmd} rule add fwmark ${num_ip_mark} table 252 pref 101
#add default routing  for ln1
   ${ipcmd} route add default via ${defgw_ln1} table 252
#redirect all (include ln2) trafic to route table 253
   ${ipcmd} rule add table 253 pref 102
#add default routing  for ln2
   ${ipcmd} route add default via ${defgw_ln2} table 253
#flush
   ${ipcmd} route flush cache
   
#============================NAT                                                         
#natting
 for cur_val in ${net_cl_nat} ; {
  ${fwcmd} -t nat -A POSTROUTING -s ${cur_val} -j SNAT -o ${intf_inet_ln2} --to-source ${my_ip_nat_ln2};
 };
#dissable NAT for dirIP
#no conntrak
  ${fwcmd} -t raw -F
  ${fwcmd} -t raw -F PREROUTING
  ${fwcmd} -t raw -F OUTPUT
#do conntrak
  ${fwcmd} -t raw -N DOTRACK
#disable conntrack for direct ip
  for cur_val in ${net_cl_dirip} ; {
          ${fwcmd} -t raw -A PREROUTING -s ${cur_val} -j NOTRACK
          ${fwcmd} -t raw -A PREROUTING -d ${cur_val} -j NOTRACK
  };

З.Ы. Код выдран из старых бэкапов и немного причесан. Раньше работал, но после прически не тестировался. Ядро было довольно старое. И заранее, не готов ответить, будет ли работать на новых.

[Cramac]

спасибо, к этому и иду.

Выбрал жертву, испытываю на одном ПК.

сессия выглядит так:

ipoe446 | 172.20.1.1    | 172.20.1.1    | 192.168.10.40  | ipoe |      | active | 06:30:17 

 

 

Добавляю маркировку:

iptables -t mangle -A PREROUTING -s 192.168.10.40 -j MARK --set-mark 2

 

добавляю в НАТ

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o vlan900 -j SNAT --to-source 172.31.255.2

 

в итоге, интернета нет. 

 

 

таблица ната такая изначально:

:POSTROUTING ACCEPT [148715184:13978381751]

-A POSTROUTING -s 10.0.0.0/8 -o eth1 -j SNAT --to-source 188.х.х.242

-A POSTROUTING -s 172.0.0.0/8 -o eth1 -j SNAT --to-source 188.х.х.242

-A POSTROUTING -s 192.168.0.0/16 -o eth1 -j SNAT --to-source 188.х.х.242

[sdy_moscow]

@Cramac А после добавления какая?

Кстати, я не уверен, что даже при прочих равных без маркировки трафик уйдет с нужного интерфейса без настроенной маршрутизации. Помнится, именно поэтому я тогда сперва маркировал трафик в PREROUTING, потом отправлял в нужную таблицу маршрутизации и только тогда он натился или редиректился на нужном интерфейсе.

Сам по себе -j SNAT, кажется, уже не перенаправляет пакет повторно в роутинг, но я не уверен.

 

Посмотрите по счетчикам какие правила в файрволе срабатывают.

 

И еще.

 

Цитата

...

32765:  from 172.31.255.2 lookup wan2
32766:  from all lookup main
32767:  from all lookup default
default via 172.31.255.1 dev vlan900  table wan2
default via 188.254.31.241 dev eth1
10.0.0.0/8 via 10.10.10.254 dev eth0

Честно, не знаю что это - отстал, но если это выбор маршрутов (как я думаю), то тут должно быть или

что-то типа

from 192.168.10.40 ...

или

from fwmark 2 ...

[Cramac]

проверяю маршрут так:

 

Цитата

 

ip ro get 8.8.8.8 mark 2

8.8.8.8 via 172.31.255.1 dev vlan900  src 172.31.255.2  mark 2

 

 

без метки так

 

Цитата

 

ip ro get 8.8.8.8 

8.8.8.8 via 188.х.х.241 dev eth1  src 188.х.х.242

 

 

метки работают, счетчики растут

Цитата

 

# iptables -L -t mangle -nv

Chain PREROUTING (policy ACCEPT 9214K packets, 7942M bytes)

 pkts bytes target     prot opt in     out     source               destination         

   98  6425 MARK       all  --  *      *       192.168.10.40        0.0.0.0/0            MARK set 0x2

 

 

нат выглядит так:

Цитата

iptables -L -t nat -nv

       

 

Chain POSTROUTING (policy ACCEPT 551K packets, 38M bytes)

 pkts bytes target     prot opt in     out     source               destination         

  22M 1526M SNAT       all  --  *      eth1    10.0.0.0/8           0.0.0.0/0            to:188.х.х.242

  22M 1983M SNAT       all  --  *      eth1    172.0.0.0/8          0.0.0.0/0            to:188.х.х.242

2075M  199G SNAT       all  --  *      eth1    192.168.0.0/16       0.0.0.0/0            to:188.х.х.242

  155  9771 SNAT       all  --  *      vlan900  192.168.0.0/16       0.0.0.0/0            to:172.31.255.2

счетчик растет, но как то не очень бодро. Маркируеться больше.

 

[sdy_moscow]

@Cramac можно еще снифернуть трафик...

Но все-же я не пойму где у вас настройка по смене маршрута для маркированного трафика.

[Cramac]

Это до маркировки

 

Цитата

tcpdump -i eth0 'src 172.20.1.1 or dst 172.20.1.1'

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

22:56:47.645296 IP 172.20.1.1 > ya.ru: ICMP echo request, id 1, seq 5094, length 40

22:56:47.656148 IP ya.ru > 172.20.1.1: ICMP echo reply, id 1, seq 5094, length 40

22:56:48.661002 IP 172.20.1.1 > ya.ru: ICMP echo request, id 1, seq 5095, length 40

22:56:48.671801 IP ya.ru > 172.20.1.1: ICMP echo reply, id 1, seq 5095, length 40

22:56:49.676588 IP 172.20.1.1 > ya.ru: ICMP echo request, id 1, seq 5096, length 40

22:56:49.687242 IP ya.ru > 172.20.1.1: ICMP echo reply, id 1, seq 5096, length 40

22:56:50.692381 IP 172.20.1.1 > ya.ru: ICMP echo request, id 1, seq 5097, length 40

22:56:50.703162 IP ya.ru > 172.20.1.1: ICMP echo reply, id 1, seq 5097, length 40

22:56:51.707822 IP 172.20.1.1 > ya.ru: ICMP echo request, id 1, seq 5098, length 40

22:56:51.718578 IP ya.ru > 172.20.1.1: ICMP echo reply, id 1, seq 5098, length 40

eth0 интерфейс что смотрит в сеть, 172.20.1.1 адрес тестового ПК

 

Цитата

tcpdump -i ipoe446

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on ipoe446, link-type EN10MB (Ethernet), capture size 65535 bytes

23:00:10.805737 IP 192.168.10.40 > ya.ru: ICMP echo request, id 1, seq 5294, length 40

23:00:10.816374 IP ya.ru > 192.168.10.40: ICMP echo reply, id 1, seq 5294, length 40

23:00:11.821813 IP 192.168.10.40 > ya.ru: ICMP echo request, id 1, seq 5295, length 40

23:00:11.832631 IP ya.ru > 192.168.10.40: ICMP echo reply, id 1, seq 5295, length 40

23:00:12.839045 IP 192.168.10.40 > ya.ru: ICMP echo request, id 1, seq 5296, length 40

23:00:12.849720 IP ya.ru > 192.168.10.40: ICMP echo reply, id 1, seq 5296, length 40

ipoe446 интерфейс испытуемого

 

 

дамп на аплинке показывает что идут запросы и ответы, но что то не доходят

[sdy_moscow]

@Cramac Запутался я с вашими адресами и интерфейсами ifconfig покажите что-ли.

Глядя на сниф получается, что аксель сам натит что-ль? Не знал. Тогда зачем еще один нат делать?

[Cramac]

Цитата

 ifconfig

eth0      Link encap:Ethernet  HWaddr 00:1e:67:79:9c:01  

          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0

          inet6 addr: fe80::21e:67ff:fe79:9c01/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:210580449246 errors:0 dropped:5109 overruns:0 frame:0

          TX packets:316476580614 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:10000 

          RX bytes:84919937595392 (84.9 TB)  TX bytes:385326955947403 (385.3 TB)

          Interrupt:19 Memory:c2400000-c2420000 

 

eth0:0    Link encap:Ethernet  HWaddr 00:1e:67:79:9c:01  

          inet addr:91.x.x.254  Bcast:91.x.x.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          Interrupt:19 Memory:c2400000-c2420000 

 

eth1      Link encap:Ethernet  HWaddr 00:1e:67:79:9c:00  

          inet addr:188.x.x.242  Bcast:188.x.x.255  Mask:255.255.255.0

          inet6 addr: fe80::21e:67ff:fe79:9c00/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:315603494858 errors:1 dropped:279491 overruns:0 frame:1

          TX packets:206585363583 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:10000 

          RX bytes:384673746160985 (384.6 TB)  TX bytes:80622475551964 (80.6 TB)

          Interrupt:16 Memory:c2300000-c2320000 

 

ipoe0     Link encap:Ethernet  HWaddr 00:1e:67:79:9c:01  

          inet addr:10.10.10.1  P-t-P:192.168.4.171  Mask:255.255.255.255

          inet6 addr: fe80::21e:67ff:fe79:9c01/64 Scope:Link

          UP POINTOPOINT RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:109019 errors:0 dropped:0 overruns:0 frame:0

          TX packets:113286 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:100 

          RX bytes:65965694 (65.9 MB)  TX bytes:96740312 (96.7 MB)

 

ipoe1     Link encap:Ethernet  HWaddr 00:1e:67:79:9c:01  

          inet addr:10.10.10.1  P-t-P:192.168.13.229  Mask:255.255.255.255

          inet6 addr: fe80::21e:67ff:fe79:9c01/64 Scope:Link

          UP POINTOPOINT RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:3189873 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2582486 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:100 

          RX bytes:2379654215 (2.3 GB)  TX bytes:1750712535 (1.7 GB)

 

route -n | grep ipoe446

172.20.1.1      0.0.0.0         255.255.255.255 UH    0      0        0 ipoe446

192.168.10.40   0.0.0.0         255.255.255.255 UH    0      0        0 ipoe446

 

 

[sdy_moscow]

@Cramac Залез я на сайт с докой accel.

https://accel-ppp.org/wiki/doku.php?id=ru:ipoe

посмотрите опции l4-redirect - МОЖЕТ вам это подойдет

[Cramac]

1 минуту назад, sdy_moscow сказал:

@Cramac Залез я на сайт с докой accel.

https://accel-ppp.org/wiki/doku.php?id=ru:ipoe

посмотрите опции l4-redirect - МОЖЕТ вам это подойдет

это у меня тоже используется, у кого нет денег, кидает на ЛК

[sdy_moscow]

@Cramac Что-то Вы сами, судя по конфигам и настройкам ната и роутинга, совсем запутались с тем, что хотите сделать. Составьте для себя схему того что вы хотите получить и для каких адресов. Обратите внимание, что похоже аксель УЖЕ натит без ваших настроек -j SNAT.

 

К сожалению с ipoe я не возился с исходниками и схему прохождения пакета по цепочкам и где он натится - не знаю. Надо разобраться, какую схему придумал автор в этот раз, для этого надо погружаться или в поиски, или в код. С документацией всё как обычно - очень бедно, к сожалению. Если найдете вдруг сами схему движения пакетов - будет проще.