openvpn, real ip & co - ping problem

0

0

суть такова: есть впн клиент на линуксе, есть впн сервер на фре. на фре через нат рутится весь траф с дополнительного ипа на впн клиента и обратно. а теперь проблема: не пингуется ип, на который повешен нат, то есть внешний, причем не пингуется не отзывается и тп - именно с машины опенвпн клиента. фух. в общем я так понимаю это толи защита от спуфинга, толи ещё что. в общем хочу чтобы он мог попасть сам на себя. извините если криво объяснил )

Ссылка

←	Ограничение входящего трафика при помощи tc

debian+apache2.2+ssi

→

А все остально работает? Например, доступ к клиенту снаружи через сервер?

nnz ★★★★
(09.08.09 09:09:16 MSD)

> есть впн сервер на фре. на фре через нат рутится весь траф с дополнительного ипа на впн клиента и обратно

Возьми топор, убей виндузятника, который админит эту фрю. У него руки по ДНК не из того места растут, а геноматериал человечества надо чистить.

~~no-dashi~~ ★★★★★
(09.08.09 09:39:22 MSD)

Ответ на: комментарий от nnz 09.08.09 09:09:16 MSD

естественно. трафик натится при помощи пф на внутренние ипы впна. тока с него самого его "прекрывающий ип" недоступен.

tazhate ★★★★★
(09.08.09 17:48:48 MSD) автор топика

Ответ на: комментарий от no-dashi 09.08.09 09:39:22 MSD

ок. скажи пожалуйста как можно было сделать лучше.

tazhate ★★★★★
(09.08.09 17:54:45 MSD) автор топика

Ссылка

Ответ на: комментарий от tazhate 09.08.09 17:48:48 MSD

Возможно, клиент отправляет запрос на свой ип через внешку, а ответ ему приходит по впну. Попробуй на клиенте прописать маршрут для "внешнего" ипа через впн.

nnz ★★★★
(09.08.09 21:09:59 MSD)

Ответ на: комментарий от no-dashi 09.08.09 09:39:22 MSD

И тебя тоже достали виндузятники на бздях?
Товарищ по несчастью...

nnz ★★★★
(09.08.09 21:11:00 MSD)

Ссылка

Ответ на: комментарий от nnz 09.08.09 21:09:59 MSD

не возможно а точно блин. ответа ему и не уходит судя по тцпдампу. но попробую. спасибо.

tazhate ★★★★★
(10.08.09 02:08:56 MSD) автор топика

Ответ на: комментарий от tazhate 10.08.09 02:08:56 MSD

Можно еще net.ipv4.conf.all.rp_filter в ноль поставить (и еще для всех интерфейсов, например, net.ipv4.conf.eth0.rp_filter). Но это не секурно. И не забудьте через айпистолы зарезать трафик из инета типа "я со 127.0.0.1, бл* буду"

nnz ★★★★
(10.08.09 11:00:23 MSD)

14 сентября 2009 г.

Ответ на: комментарий от nnz 10.08.09 11:00:23 MSD

не помогло :( ща попробую исчо ип напрямую навесить и путь прописать

tazhate ★★★★★
(14.09.09 06:39:24 MSD) автор топика