OpenVPN. NATятся не все пакеты.

2

1

Приветствую,

Что имеем: Centos 6.6 Linux 2.6.32-504.30.3.el6.x86_64 #1 SMP Wed Jul 15 10:13:09 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

OpenVPN 2.3.7 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jun 9 2015

Все пингуется, интернеты есть. Но заметил, что часть пакетов не натится.

Код:
IPT=«/sbin/iptables»
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --dports 20,21,222,2224,80,443,3306 -j ACCEPT
$IPT -A INPUT -p tcp -m multiport --dports 25,110,143,465,993,995 -j ACCEPT

$IPT -A INPUT -p tcp -m multiport --dports 53 -j ACCEPT
$IPT -A INPUT -p udp -m multiport --dports 53,80 -j ACCEPT

# OpenVPN UDP 80
$IPT -I FORWARD -i eth0 -o tap1 -j ACCEPT
$IPT -I FORWARD -i tap1 -o eth0 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth0 -j SNAT --to-source xxx.yyy.zzz.www

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/service iptables save

В какую сторону смотреть?

Спасибо.

Ссылка

←	вопрос на 5 минут про Nginx

Вопрос по совтовому рейду(mdadm)

→

В сторону маскарадинга для начала.

dhameoelin ★★★★★
(28.07.15 15:37:52 MSK)

Ответ на: комментарий от dhameoelin 28.07.15 15:37:52 MSK

Так маскардинг разве не для серых ip? SNAT для белого ip.

TeHb
(28.07.15 15:39:34 MSK) автор топика

Ответ на: комментарий от TeHb 28.07.15 15:39:34 MSK

Маскарадинг для любого подходит, SNAT — только для статического. Кстати, в чём выражается, что часть пакетов не натится?

~~te111011010~~ ★
(28.07.15 15:43:32 MSK)

Ответ на: комментарий от te111011010 28.07.15 15:43:32 MSK

на опенвпн машине tcpdump src host 10.20.0.2 -nn 15:47:03.975288 IP 10.20.0.2.52145 > xxx.xxx.xxx.xxx.2224: Flags [R], seq 2233692060, win 0, length 0

10.20.0.2 - это адрес клиента вместо него должен быть белый ип xxx.yyy.zzz.www, как и у 98% других пакетов.

TeHb
(28.07.15 15:49:03 MSK) автор топика

Ссылка

Ответ на: комментарий от dhameoelin 28.07.15 15:37:52 MSK

Замена
$IPT -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth0 -j SNAT --to-source xxx.yyy.zzz.www
на
$IPT -t nat -A POSTROUTING -s 10.20.0.0/24 -d xxx.yyy.zzz.www -j MASQUERADE
не помогла - отвалился интернет на клиентской машине

+ доп информация интерфейсы не считая tap'а:
eth0 uuu.uuu.uuu.uuu
eth0:1 xxx.yyy.zzz.www
коннект клиента к uuu.uuu.uuu.uuu
на выходе у клиента ip xxx.yyy.zzz.www

TeHb
(28.07.15 16:05:07 MSK) автор топика

Ответ на: комментарий от TeHb 28.07.15 16:05:07 MSK

Стоп. Адрес на eth0:1 совпадает с адресом на tapX?

koi-sama
(28.07.15 19:04:57 MSK)

Ответ на: комментарий от koi-sama 28.07.15 19:04:57 MSK

Нет:

eth0:1 Link encap:Ethernet HWaddr C6:B4:43:23:46:47
inet addr:xxx.yyy.zzz.www Bcast:xxx.yyy.zzz.www Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

tap1 Link encap:Ethernet HWaddr [...]
inet addr:10.20.0.1 Bcast:10.20.0.255 Mask:255.255.255.0
inet6 addr: [...]/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:152199 errors:0 dropped:0 overruns:0 frame:0
TX packets:180814 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:26607539 (25.3 MiB) TX bytes:132042558 (125.9 MiB)