LINUX.ORG.RU

История изменений

Исправление YAR, (текущая версия) :

Я все же добил проблему :)
helper все же помог. Просто нужно было правила SNAT'а убирать. Итоговый вариант выглядит так:

##### PPTP VPN server related #####
"${ipt}" -A PREROUTING  -t raw -p tcp -m tcp --dport 1723 -j CT --helper pptp
"${ipt}" -A PREROUTING  -t nat -p tcp -d $exip --dport 1723   -j DNAT --to 192.168.221.251:1723 # VPN
"${ipt}" -A PREROUTING  -t nat -p gre ! -s 192.168.221.251 -d $exip                -j DNAT --to 192.168.221.251 # VPN

+ net.netfilter.nf_conntrack_helper=1 в sysctl.conf. Ну и раз уж он включается, то и для FTP придется правила поменять под новый стиль.

А на старой системе действительно локальный DNS отдавал местный адрес и SNAT не использовался.

Update: правило лишнее, уже сам путаться начал. Т.е., можно или правило, или helper в sysctl. Главное - использовать или helper в том или ином виде, или правила с SNAT'ом (если в таком виде оно работает), но не вместе.

Исправление YAR, :

Я все же добил проблему :)
helper все же помог. Просто нужно было правила SNAT'а убирать. Итоговый вариант выглядит так:

##### PPTP VPN server related #####
"${ipt}" -A PREROUTING  -t raw -p tcp -m tcp --dport 1723 -j CT --helper pptp
"${ipt}" -A PREROUTING  -t nat -p tcp -d $exip --dport 1723   -j DNAT --to 192.168.221.251:1723 # VPN
"${ipt}" -A PREROUTING  -t nat -p gre ! -s 192.168.221.251 -d $exip                -j DNAT --to 192.168.221.251 # VPN

+ net.netfilter.nf_conntrack_helper=1 в sysctl.conf. Ну и раз уж он включается, то и для FTP придется правила поменять под новый стиль.

А на старой системе действительно локальный DNS отдавал местный адрес и SNAT не использовался.

Исходная версия YAR, :

Я все же добил проблему :)
helper все же помог. Просто нужно было правила SNAT'а убирать. Итоговый вариант выглядит так:

##### PPTP VPN server related #####
"${ipt}" -A PREROUTING  -t raw -p tcp -m tcp --dport 1723 -j CT --helper pptp
"${ipt}" -A PREROUTING  -t nat -p tcp -d $exip --dport 1723   -j DNAT --to 192.168.221.251:1723 # VPN
"${ipt}" -A PREROUTING  -t nat -p gre ! -s 192.168.221.251 -d $exip                -j DNAT --to 192.168.221.251 # VPN

+ net.netfilter.nf_conntrack_helper=1 в sysctl.conf. Ну и раз уж он включается, то и для FTP придется правила поменять под новый стиль.