Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
OFF: а зачем его инет гнать через тебя? 12.11.09 15:16 Число просмотров: 4929
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:22 Количество правок: 3
|
> Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Достаточно поднять нат на интерфейсе 10.0.0.1 если vpn-сервер сам видит инет.
Subj. Если чувак впнится из интернета - то инет у него и так есть - другое дело, что internet explorer не может отобразить страницу, т.к. 1) основным шлюзом после подключения становится 10.0.0.1, а не провайдерский, и 2) вместе с IP при коннекте (скорее всего) выдаётся также DNS от тебя, и он не работает (опять-таки нат не поднят, маршрута с vpn-сервера (скорее всего) нет, а dns-сервер и подавно обратного маршрута к vpnной сети и подавно не знает).
Не дешевле ли будет снять пару галок в сввах vpn-подключения на клиенте?
|
|
<networking>
|
iptables + vpn = нужна помощь 12.11.09 12:00
Автор: Yurii <Юрий> Статус: Elderman
|
На компьютере установлен модем. К нему коннектятятся из инета по vpn. После коннекта компе появляются два интерфейса:
ppp0 - динамический инет-адрес от провайдера
ppp1 - адрес 10.0.0.1 - хвост от vpn
Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Номер порта vpn 1723, номер протокола gre 47.
|
|
OFF: а зачем его инет гнать через тебя? 12.11.09 15:16
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:22 Количество правок: 3
|
> Подскажите, как мне настроить iptables так, чтобы этот комп у меня был интернет-шлюзом? Т.е. чтобы человек на другом конце vpn имел полноценный интернет?
Достаточно поднять нат на интерфейсе 10.0.0.1 если vpn-сервер сам видит инет.
Subj. Если чувак впнится из интернета - то инет у него и так есть - другое дело, что internet explorer не может отобразить страницу, т.к. 1) основным шлюзом после подключения становится 10.0.0.1, а не провайдерский, и 2) вместе с IP при коннекте (скорее всего) выдаётся также DNS от тебя, и он не работает (опять-таки нат не поднят, маршрута с vpn-сервера (скорее всего) нет, а dns-сервер и подавно обратного маршрута к vpnной сети и подавно не знает).
Не дешевле ли будет снять пару галок в сввах vpn-подключения на клиенте?
|
| |
Галку снять дешевле, но нужно весть трафик завернуть через... 12.11.09 15:30
Автор: Yurii <Юрий> Статус: Elderman
|
Галку снять дешевле, но нужно весть трафик завернуть через этот сервер.
ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
|
| | |
NAT на 10.0.0.1 даст возможность отвечающим компам общаться с 2, направляя ответы на vpn-сервер 12.11.09 15:41
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 12.11.09 15:42 Количество правок: 2
|
> ЗЫ: А что даст НАТ на 10.0.0.1? Я хотел нат делать на ppp0 - он в инет смотрит.
Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера, правильно? :)
А у 10.0.0.1 должен быть маршрут по умолчанию через интерфейс ppp0.
|
| | | |
Правильно. Но тогда НАТ надо делать на интерфейсе, который в... 12.11.09 15:55
Автор: Yurii <Юрий> Статус: Elderman
|
> Ведь про сеть 10/8 никто в сети не знает кроме vpn-сервера,
> правильно? :)
Правильно. Но тогда НАТ надо делать на интерфейсе, который в инет смотрит?
|
| | | | |
Конечно нет - нат надо делать на том интерфейсе, в который _приходят_ пакеты из локальной сети (в данном случае vpn), а основным шлюзом для этого интерфейса как раз является смотрящий в инет 12.11.09 16:03
Автор: Ustin <Ustin> Статус: Elderman
|
|
|
| | | | | |
ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают... 12.11.09 16:36
Автор: Yurii <Юрий> Статус: Elderman
|
|
ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х?
|
| | | | | | |
Сорри, натупил очень сильно 12.11.09 16:52
Автор: Ustin <Ustin> Статус: Elderman
|
> ОК. Сделаю НАТ на 10.0.0.1. Пакеты уйдут в инет. Там знают про мою сетку 10.0.0.Х?
Нет, там знают про динамический ip ppp0.
Конечно, NAT поднимается на ppp0 и прописывается маршрут в 10/8 через ppp1 (если при подключении не появляется динамический).
Также в процессе раздачи ip надо бы отдать адреса dns чтобы всё совсем работало - это и без меня известно походу.
|
| | | | | | | |
Ну в общем да. Вот кто бы с правилами iptables помог. :) 12.11.09 16:58
Автор: Yurii <Юрий> Статус: Elderman
|
|
|
| | | | | | | | |
Если еще актуально... 14.01.10 22:53
Автор: fly4life <Александр Кузнецов> Статус: Elderman
|
Если еще актуально...
В простейшем случае достаточно одного правила:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
(при условии, что в таблице "filter" политика цепочки "FORWARD" выставлена в 'ACCEPT').
Если с этим правилом удастся выпустить VPN-клиентов в Инет, то можно уже задумываться о всяких рюшках (типа для повышения безопасности сети з ашлюзом). Там еще буквально пару правил.
|
| | | | | | | | | |
Ну и не забыть net.ipv4.ip_forward=1 15.01.10 09:55
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
Необходимо разрешить передачу пакетов между интерфейсами, иначе никакой маршрутизации не будет. Прописывать либо в /etc/sysctl.conf, либо в в любой скрипт, выполняющийся при загрузке системы
sysctl net.ipv4.ip_forward=1
|
|
|
подробно о проекте
Анализ криптографических сетевых...
