Перейти к содержимому
Калькуляторы

iptables и клиент через VPN

Всем привет. Подскажите как реализовать такое:

сейчас есть сеть и маршрутизатор

на нем две сетевые, одна смотрит в нет, вторая в сеть.

интернет раздается по ВПН, клиенту выдается серый ИП.

зона серых ИП натиться на интерфейс который смотрит в нет:

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source хх.хх.хх.210

по умолчанию iptables -P FORWARD DROP

кого выпускаем, создаем правило на вход и выход

 

в итоге имеем:

eth0 xx.xxx.xx.210 маска 255.255.255.240 шлюз хх.ххх.хх.209

eth1 хх.хх.хх.1 маска 255.255.255.0 шлюза хх.хх.хх.254

 

провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240

 

Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП?

добавляя

iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT

и обратное правило, народ не получает доступа в инет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240

 

Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП?

добавляя

iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT

и обратное правило, народ не получает доступа в инет

а провайдер свернул на вас эти адреса? проверить трасертом откуда нибудь с инета. ну на машине проверить, что маршрут при подключении по впн создается. может без маски в правилах адреса указать (проверить, тикают счетчики или нет)?
Изменено пользователем anix

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят.

если добавить правило вида:

iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT

и его обратный, то в инет начинают все ходить из данной подсети..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня в таком варианте работало

-A FORWARD -s 80.89.152.26 -d 0/0 -j ACCEPT

-A FORWARD -d 80.89.152.26 -s 0/0 -j ACCEPT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мистика какая то...

в списке правил есть

313 ACCEPT all -- хх.хх.хх.211 anywhere

314 ACCEPT all -- anywhere хх.хх.хх.211

 

ifconfig

ppp29 Link encap:Point-to-Point Protocol

inet addr:10.10.10.1 P-t-P:хх.хх.хх.211 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1

RX packets:15 errors:0 dropped:0 overruns:0 frame:0

TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:3

RX bytes:996 (996.0 b) TX bytes:119 (119.0 b)

 

в роутах:

хх.хх.хх.211 * 255.255.255.255 UH 0 0 0 ppp29

 

не хочет проходить и все...

открыв всю подсеть ходит спокойно :(

точнее не все, а только 217 адрес почему то

Изменено пользователем Cramac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пробовал и с прокси, не помогло :(

раньше были адреса из другой подсети что на интерфейса смотрящий в нет, все выдавалось и работало без этого...щас же из одной сети и не работает...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят.
тоесть не заруливал провайдер вас никуда, просто подсеть выдал. отсюда видится такая ситуация: реальный адрес, выданный клиенту по впну, находится в connected-сети провайдерского роутера, и при обращении к этому адресу роутер делает арп-запрос на него. на этот запрос должен ответить ваш сервак своим мак-адресом. иптаблесы тут ни при чем, надо действительно в сторону проксиарп копать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.