не получается подменить ip при помощи nat

0

2

Пытаюсь продублировать работу vpn сервера.

Система должна работать следующим образом. Есть два vpn сервера - один основной, другой его дублирует. У клиента поднято два vpn соединения - одно с основным, другое с дублирующим и скрипт который пингует основной vpn сервер, при падении основного скрипт в табличке nat делает подмену ip основного на ip дублирующего и опять продолжает пинговать основной. При поднятии основного, удаляет правила для nat и опять продолжает пинговать основной и т. д.

Для экспериментов сделал следующую систему из двух компов. На одном поднято два vpn сервера (например с ip основного 172.16.0.1 и ip дублирующего 10.0.0.1) и ftp сервер (который слушает два виртуальных интерфейса с ip 172.16.0.1 и 10.0.0.1) для проверки.

Со скриптом разобрался. Непонятки вот в чём.

На клиенте делаю подмену следующими правилами:

iptables -t nat -A PREROUTING -p tcp -d 172.16.0.1 -j DNAT --to-destination 10.0.0.1
iptables -t nat -A PREROUTING -p udp -d 172.16.0.1 -j DNAT --to-destination 10.0.0.1

Далее командой:

watch iptables -t nat -vnL

Смотрю сколько пакетов попали в эти правила. И оказывается что пакеты не попадают в эти правила. Я не пойму почему?

Просьба не предлагать следующий вариант - на дублирующем сервере пинговать основной и при его отсутствии на дублирующем перепрописывать сетевые данные основного. Если первый вариант не получится то сделаю этот.

Хотелось разобраться почему пакеты не попадают в правила для nat!

За помощь заранее благодарен!

Ссылка

←	Не понятно почему рвется pptp сессия у клиентов на VPN сервере Ubuntu

Отсутствует запись в ARP таблице.

→

/proc/sys/net/ipv4/ip_forward ?

joy4eg ★★★★★
(10.06.14 12:14:03 MSK)

А чем у меня баннер Office 365 висит на этой странице?

anonymous
(10.06.14 12:15:45 MSK)

Ссылка

Ответ на: комментарий от joy4eg 10.06.14 12:14:03 MSK

/proc/sys/net/ipv4/ip_forward ?

cat /proc/sys/net/ipv4/ip_forward
0

Только я не пойму при чём тут форвардинг?

v4567 ★★
(10.06.14 12:17:56 MSK) автор топика

Ответ на: комментарий от v4567 10.06.14 12:17:56 MSK

В очередной раз перечитывая документацию по iptables и в частности про nat.

DNAT (Destination Network Address Translation) — подменяет адрес назначения для входящих пакетов, позволяя «пробрасывать» адреса или отдельные порты внутрь локальной сети.

SNAT — подменяет адрес источника для исходящих пакетов адресом того интерфейса, с которого они исходят. Такая операция позволяет, например, предоставлять доступ в Интернет целым локальным сетям через один шлюз.

Получается что подменить ip назначения для исходящих пакетов при помощи nat нельзя? Если это так, то можно ли другими средствами как то осуществить подмену ip назначения для исходящего пакета?

v4567 ★★
(10.06.14 12:38:30 MSK) автор топика

Ответ на: комментарий от v4567 10.06.14 12:17:56 MSK

Сделай:

echo 1 > /proc/sys/net/ipv4/ip_forward

Иначе пакеты будут отбрасываться.

generator ★★★
(10.06.14 12:39:20 MSK)

Ссылка

http://www.jebriggs.com/php/Netfilter-packet-flow.svg
Ознакомься, схорони в удобном месте и начинай перепридумывать схему дублирования.

thesis ★★★★★
(10.06.14 12:46:53 MSK)

Ссылка

Ответ на: комментарий от v4567 10.06.14 12:38:30 MSK

SNAT — подменяет адрес источника для исходящих пакетов адресом того интерфейса, с которого они исходят.

Не читай больше документацию в этом месте.

thesis ★★★★★
(10.06.14 12:48:00 MSK)

Ответ на: комментарий от thesis 10.06.14 12:48:00 MSK

Проблему с подменой ip решил.

Подмена адреса получателя в исходящем пакете

Вместо PREROUTING надо было писать OUTPUT, форвардинг здесь не причём, наверное надо ещё маршруты прописывать и заносить маки в arp таблицу.

На серваке пакеты дошли на 10.0.0.1

но написало вот что:

tcpdump -i tap2 -n -nn host 10.0.0.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap2, link-type EN10MB (Ethernet), capture size 96 bytes
11:44:00.547382 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:01.547237 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:02.550509 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:19.800992 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:20.803028 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:21.806169 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:22.809666 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:23.812757 arp who-has 10.0.0.1 tell 172.16.0.11
11:44:24.815973 arp who-has 10.0.0.1 tell 172.16.0.11

172.16.0.11 это ip клиента.

v4567 ★★
(10.06.14 12:56:51 MSK) автор топика

Ответ на: комментарий от v4567 10.06.14 12:56:51 MSK

Чувствую, что ты городишь какое-то несусветное извращение, но обосновать не могу - не представляю всей картины бедствия.
Дай полную конфигурацию: ip a s с обеих машин до подключения клиента, после подключения клиента по обоим каналам и после «обрыва» одного из каналов.

thesis ★★★★★
(10.06.14 14:19:40 MSK)
Последнее исправление: thesis 10.06.14 14:20:03 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от v4567 10.06.14 12:56:51 MSK

И в чём сейчас проблема? Что клиент пытается идти с src-адреса 172.16.0.11? Дак ведь он исходно хочет идти на 172.16.0.1, поэтому и выбирает это src-адрес. DNAT изменяет только dst-адрес, src-адрес изменяет SNAT.

И зачем вам понадобился tap-интерфейс, чем tun не устраивает?

mky ★★★★★
(10.06.14 15:17:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Не понятно почему рвется pptp сессия у клиентов на VPN сервере Ubuntu

Admin

Отсутствует запись в ARP таблице.

→

Похожие темы