На компьютере установлен модем. К нему коннектятятся из инета по vpn. После коннекта компе появляются два интерфейса:
ppp0 - динамический инет-адрес от провайдера
ppp1 - адрес 10.0.0.1 - хвост от vpn
Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Номер порта vpn 1723, номер протокола gre 47.
OFF: а зачем его инет гнать через тебя?12.11.09 15:16 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 12.11.09 15:22 Количество правок: 3
> Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет? Достаточно поднять нат на интерфейсе 10.0.0.1 если vpn-сервер сам видит инет.
Subj. Если чувак впнится из интернета - то инет у него и так есть - другое дело, что internet explorer не может отобразить страницу, т.к. 1) основным шлюзом после подключения становится 10.0.0.1, а не провайдерский, и 2) вместе с IP при коннекте (скорее всего) выдаётся также DNS от тебя, и он не работает (опять-таки нат не поднят, маршрута с vpn-сервера (скорее всего) нет, а dns-сервер и подавно обратного маршрута к vpnной сети и подавно не знает).
Не дешевле ли будет снять пару галок в сввах vpn-подключения на клиенте?
Галку снять дешевле, но нужно весть трафик завернуть через...12.11.09 15:30 Автор: Yurii <Юрий> Статус: Elderman
Галку снять дешевле, но нужно весть трафик завернуть через этот сервер.
ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
NAT на 10.0.0.1 даст возможность отвечающим компам общаться с 2, направляя ответы на vpn-сервер12.11.09 15:41 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 12.11.09 15:42 Количество правок: 2
> ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит. Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера, правильно? :)
А у 10.0.0.1 должен быть маршрут по умолчанию через интерфейс ppp0.
Правильно. Но тогда НАТ надо делать на интерфейсе, который в...12.11.09 15:55 Автор: Yurii <Юрий> Статус: Elderman
> Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера, > правильно? :) Правильно. Но тогда НАТ надо делать на интерфейсе, который в инет смотрит?
Конечно нет - нат надо делать на том интерфейсе, в который _приходят_ пакеты из локальной сети (в данном случае vpn), а основным шлюзом для этого интерфейса как раз является смотрящий в инет12.11.09 16:03 Автор: Ustin <Ustin> Статус: Elderman
> ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х? Нет, там знают про динамический ip ppp0.
Конечно, NAT поднимается на ppp0 и прописывается маршрут в 10/8 через ppp1 (если при подключении не появляется динамический).
Также в процессе раздачи ip надо бы отдать адреса dns чтобы всё совсем работало - это и без меня известно походу.
Ну в общем да. Вот кто бы с правилами iptables помог. :)12.11.09 16:58 Автор: Yurii <Юрий> Статус: Elderman
В простейшем случае достаточно одного правила:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
(при условии, что в таблице "filter" политика цепочки "FORWARD" выставлена в 'ACCEPT').
Если с этим правилом удастся выпустить VPN-клиентов в Инет, то можно уже задумываться о всяких рюшках (типа для повышения безопасности сети з ашлюзом). Там еще буквально пару правил.
Ну и не забыть net.ipv4.ip_forward=115.01.10 09:55 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Необходимо разрешить передачу пакетов между интерфейсами, иначе никакой маршрутизации не будет. Прописывать либо в /etc/sysctl.conf, либо в в любой скрипт, выполняющийся при загрузке системы
sysctl net.ipv4.ip_forward=1
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
