pppoe+iptables

0

0

Доброй ночи, ЛОР.

Такая проблема, не могу завернуть траффик в локальной сети в PPPoE.

Структура следующая: от провайдера идет пппое соединение которое обеспечивает длинковский роутер, от него дальше идет в компик с двумя интерфейсами: eth0 от длинка и eth1 в локальную сеть, поднял PPPoE сервер:

hawaii% cat /etc/ppp/pppoe-server-options 
auth
logfile /var/log/log.pppoe
require-chap
lcp-echo-interval 20
lcp-echo-failure 3
noipdefault
noipx
nodefaultroute
noproxyarp
ms-dns 85.113.62.227
ms-dns 85.113.63.252
netmask 255.255.255.0

hawaii% sudo !!                  
sudo cat /etc/ppp/chap-secrets
# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test             *       testpassword             10.0.1.15

Создал скрипт с командами iptables.

hawaii% sudo cat /etc/iptables.rules  
#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD ACCEPT 
iptables -A FORWARD -j ACCEPT -p ALL -s 0.0.0.0/0 -d 0.0.0.0/0 -i ppp+

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.3.10 

/usr/sbin/pppoe-server -I eth1 -L 10.0.1.1

Настройки интерфейсов:

hawaii% sudo cat /etc/network/interfaces 
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
iface eth0 inet static
address 192.168.3.10
netmask 255.255.255.0
gateway 192.168.3.1
pre-up /etc/iptables.rules
auto eth0

#The secondary interface
iface eth1 inet static
address 10.0.1.1
netmask 255.255.255.0
auto eth1

В локальной сети раздаются настройки сервером udhcpd, нужно чтобы в интернет ходили только авторизованные пользователи, но получается что интернет в PPPoE не заходит, а либо идет мимо или его вообще нет, при установки политики FORWARD DROP интернет падает. Хотя PPPoE-тоннель создается. Где я делаю неправильно?

Ссылка

←	Как эффективно выяснить на шелле имена и IPv4-адреса всех поднятых интерфейсов?

SSH прерывается при выполнении /etc/init.d/networking restart

→

s/при\ установки/при\ установке/

вот еще на всякий

это со шлюза

hawaii% sudo route -n
[sudo] password for wlan: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth0

это с ноута(клиента):

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0

wlan ★★
(29.01.10 03:55:48 MSK) автор топика

А помимо этого скрипта ещё что-нибудь в iptables есть?
Просто такие настройки позволяют любому пройти цепочку FORWARD.

при установки политики FORWARD DROP интернет падает.

добавь iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Nao ★★★★★
(29.01.10 06:40:36 MSK)

Ответ на: комментарий от Nao 29.01.10 06:40:36 MSK

кроме этого ничего нет

щас добавлю в скриптец, отпишусь

wlan ★★
(29.01.10 07:03:07 MSK) автор топика

Ссылка

Ответ на: комментарий от Nao 29.01.10 06:40:36 MSK

неа, не работает с этой строчкой тоже, дальше шлюза не пингуется

wlan ★★
(29.01.10 07:17:09 MSK) автор топика

Ответ на: комментарий от wlan 29.01.10 07:17:09 MSK

что пингаешь имя? (кеширДНС поднял?) или внешний ИП?

dev-ice
(29.01.10 07:54:42 MSK)

Ответ на: комментарий от dev-ice 29.01.10 07:54:42 MSK

пинги идут на тот ипэ адрес на котором поднят PPPoE(10.1.1.1)

а там дальше еще стоит роутер длинковский он коннектит к прову уже

wlan ★★
(29.01.10 07:58:08 MSK) автор топика

+ выбивает из колеи фраза:

hawaii% sudo !! sudo cat /etc/ppp/chap-secrets

# Secrets for authentication using CHAP

# client server secret IP addresses

test * testpassword 10.0.1.15

-----

ты с PPPoE уже не работешь, если он у тебя подклчен к роутеру, ты работаешь с обычным Ethernet. В итоге проблема сводится к тому - как оргазнизовать НАТ между интерфейсами.

dev-ice
(29.01.10 08:00:27 MSK)

Ответ на: комментарий от wlan 29.01.10 07:58:08 MSK

ептить, это не PPPoE, это PPtP называется, если ты имеешь ввиду, что пользователи к подключаются к твоему серверу после ввода логина и пароля + ip сервера

dev-ice
(29.01.10 08:02:17 MSK)

Ответ на: комментарий от dev-ice 29.01.10 08:02:17 MSK

какое нафег пптп, если пакет называется pppoe, поднимается pppoe-server, для pptp есть poptop,

IP-адреса сервер назначает сам, их просто можно жестко прибить к логину и паролю, какие выдавать. PPPoE это не только ADSL

wlan ★★
(29.01.10 08:06:10 MSK) автор топика

Ссылка

Ответ на: комментарий от wlan 29.01.10 03:55:48 MSK

У тебя клиент к твоему pppoe не подключается, судя по приведенным таблицам маршрутизации. Радели задачу на три - запретить инет всем, заставить работать pppoe-server, открыть доступ в инет от тех кто коннектится к пппое.

ventilator ★★★
(29.01.10 11:26:10 MSK)

Ответ на: комментарий от dev-ice 29.01.10 08:00:27 MSK

я забыл написать sudo сначала, а чапсикретс не кажет для юзера, поэтому

$sudo !!

!! заменяет предыдущую введеную команду

дальше specially for you, пппое может пересекаться с адресами локальной сети, там опция есть, но если хочешь:

 hawaii% sudo cat /etc/ppp/chap-secrets
 [sudo] password for wlan:
 # Secrets for authentication using CHAP
 # client server secret        IP addresses 
  test      *     testpassword 10.1.1.15

ты с PPPoE уже не работешь, если он у тебя подклчен к роутеру, ты работаешь с обычным Ethernet. В итоге проблема сводится к тому - как оргазнизовать НАТ между интерфейсами.

PPPoE это и есть езернет, только с инкапсулированными пакетами.

лучше скастуй мне кого-нибудь или предложи идеи

wlan ★★
(29.01.10 11:26:57 MSK) автор топика

Ответ на: комментарий от wlan 29.01.10 11:26:57 MSK

оффтоп: поставил себе pppoe-server и слегка вперся с настройками:

Jan 29 09:32:08 server pppd[4854]: The remote system is required to authenticate itself

Jan 29 09:32:08 server pppd[4854]: but I couldn't find any suitable secret (password) for it to use to do so.

Jan 29 09:32:08 server pppd[4854]: (None of the available passwords would let it use an IP address.)

пока что я не помощник ))

dev-ice
(29.01.10 11:29:59 MSK)

Ссылка

Ответ на: комментарий от ventilator 29.01.10 11:26:10 MSK

я прогнал и выложил табицы с отключенным ppp

клиент:

laptop% sudo route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.1.1        0.0.0.0         255.255.255.255 UH    0      0        0 ppp2
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0

сервер:

hawaii% sudo route -n                      
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.1.15       0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.3.1     0.0.0.0         UG    0      0        0 eth0

wlan ★★
(29.01.10 11:30:41 MSK) автор топика

Ответ на: комментарий от wlan 29.01.10 11:30:41 MSK

заверни на клиенте дефолтроут в пппое.

0.0.0.0         10.0.1.1        0.0.0.0         UG    0      0        0 eth0

-он у тебя через eth0 идет, и траф в туннель не попадает.

ventilator ★★★
(29.01.10 11:33:49 MSK)

попробуй для начала masquerading а не snat.
iptables -I POSTROUTING -j MASQUERADE -o eth0 -t nat
Ещё:
iptables -I FORWARD -i ppp+ -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o ppp+ -m state --state RELATED,ESTABLISHED -j ACEPT
iptables -P FORWARD DROP

И убедись что клиенты получают правильный роутинг.

CyberTribe ★★
(29.01.10 11:34:05 MSK)

Ответ на: комментарий от CyberTribe 29.01.10 11:34:05 MSK

Зачем ему маскарадинг, если у него на eth0 статикой ип написан, тут явно не здесь проблема.

ventilator ★★★
(29.01.10 11:41:09 MSK)

Ссылка

Ответ на: комментарий от ventilator 29.01.10 11:33:49 MSK

когда заворачиваю ерез route add default gw ... dev ppp2

и route del default gw ... dev eth0 инет отваливается,

тспдамп на шлюзе молчит

wlan ★★
(29.01.10 11:43:43 MSK) автор топика

Ответ на: комментарий от wlan 29.01.10 11:43:43 MSK

tcpdump на интерфейсе ppp0?

ventilator ★★★
(29.01.10 11:44:49 MSK)

Ответ на: комментарий от ventilator 29.01.10 11:44:49 MSK

естесственно

$sudo tcpdump -i ppp0

результат ноль

wlan ★★
(29.01.10 11:45:32 MSK) автор топика

Ответ на: комментарий от wlan 29.01.10 11:45:32 MSK

Покажи трассу с клиента на 192.168.3.1, и что показывает tcpdump у клиента.

ventilator ★★★
(29.01.10 11:46:29 MSK)

Ссылка

Исходя из нашей болтовни в l-t я делаю предположение, что у тебя на клиенте pppd запускается не с теми опциями. Должны присутствовать опции defaultroute replacedefautlroute. Повторяю, это должно быть на клиенте.

Zenom ★★★
(29.01.10 12:12:19 MSK)

Ответ на: комментарий от Zenom 29.01.10 12:12:19 MSK

РАБОТАЕТ

Будешь у нас напони чтобы я тебе пивом проставился ;^)

wlan ★★
(29.01.10 16:46:00 MSK) автор топика

Ссылка

Я так понимаю, ситуация похожа на то что я планирую сделать (физически уже всё готово):

http://s006.radikal.ru/i213/1001/4f/f415f4662a9f.jpg

Если проблемы решились, сделай небольшой тутор с настройками и командами в стили copy-paste? Очень прошу!

Отслеживаю тред.

xawari
(31.01.10 00:29:25 MSK)