Jump to content
Калькуляторы

iptables и клиент через VPN

Всем привет. Подскажите как реализовать такое:

сейчас есть сеть и маршрутизатор

на нем две сетевые, одна смотрит в нет, вторая в сеть.

интернет раздается по ВПН, клиенту выдается серый ИП.

зона серых ИП натиться на интерфейс который смотрит в нет:

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source хх.хх.хх.210

по умолчанию iptables -P FORWARD DROP

кого выпускаем, создаем правило на вход и выход

 

в итоге имеем:

eth0 xx.xxx.xx.210 маска 255.255.255.240 шлюз хх.ххх.хх.209

eth1 хх.хх.хх.1 маска 255.255.255.0 шлюза хх.хх.хх.254

 

провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240

 

Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП?

добавляя

iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT

и обратное правило, народ не получает доступа в инет

Share this post


Link to post
Share on other sites
провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240

 

Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП?

добавляя

iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT

и обратное правило, народ не получает доступа в инет

а провайдер свернул на вас эти адреса? проверить трасертом откуда нибудь с инета. ну на машине проверить, что маршрут при подключении по впн создается. может без маски в правилах адреса указать (проверить, тикают счетчики или нет)?
Edited by anix

Share this post


Link to post
Share on other sites

если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят.

если добавить правило вида:

iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT

и его обратный, то в инет начинают все ходить из данной подсети..

Share this post


Link to post
Share on other sites

у меня в таком варианте работало

-A FORWARD -s 80.89.152.26 -d 0/0 -j ACCEPT

-A FORWARD -d 80.89.152.26 -s 0/0 -j ACCEPT

Share this post


Link to post
Share on other sites

мистика какая то...

в списке правил есть

313 ACCEPT all -- хх.хх.хх.211 anywhere

314 ACCEPT all -- anywhere хх.хх.хх.211

 

ifconfig

ppp29 Link encap:Point-to-Point Protocol

inet addr:10.10.10.1 P-t-P:хх.хх.хх.211 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1

RX packets:15 errors:0 dropped:0 overruns:0 frame:0

TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:3

RX bytes:996 (996.0 b) TX bytes:119 (119.0 b)

 

в роутах:

хх.хх.хх.211 * 255.255.255.255 UH 0 0 0 ppp29

 

не хочет проходить и все...

открыв всю подсеть ходит спокойно :(

точнее не все, а только 217 адрес почему то

Edited by Cramac

Share this post


Link to post
Share on other sites

пробовал и с прокси, не помогло :(

раньше были адреса из другой подсети что на интерфейса смотрящий в нет, все выдавалось и работало без этого...щас же из одной сети и не работает...

Share this post


Link to post
Share on other sites
если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят.
тоесть не заруливал провайдер вас никуда, просто подсеть выдал. отсюда видится такая ситуация: реальный адрес, выданный клиенту по впну, находится в connected-сети провайдерского роутера, и при обращении к этому адресу роутер делает арп-запрос на него. на этот запрос должен ответить ваш сервак своим мак-адресом. иптаблесы тут ни при чем, надо действительно в сторону проксиарп копать.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this