LINUX.ORG.RU
ФорумAdmin

Соединение 2 VPN на одном ИП


0

1

Добрый день, есть проблема с которой не могу справиться, надеюсь сможете помочь решить.

Есть сервер (ubuntu 10.10), в интернет выходит через adsl модем, подключается по pppoe, интерфейс ppp0 (77.77.77.77)
Так же установлено 2 сетевых - eth0 (192.168.0.1) и eth1 (192.168.1.1)
Сеть 192.168.0.0 нужно всю выпустить в интернет, а в сети 192.168.1.0 есть ПК1 (192.168.1.2) и ПК2 (192.168.1.3). На обоих ПК поднят VPN тунель. ПК1 соединяется с сервером 11.11.11.11, а ПК2 22.22.22.22.

Для того что бы они могли соединится на интерфейсе ppp0 проброшены порты.

$IPTABLES -t nat -A PREROUTING -i ppp0 -d 77.77.77.77 -s 11.11.11.11/23 -j DNAT --to-destination 192.168.1.2
$IPTABLES -t nat -A PREROUTING -i ppp0 -d 77.77.77.77 -s 22.22.22.22/23 -j DNAT --to-destination 192.168.1.3


По умолчанию в iptables все разрешено

$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t raw
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT



Проблема: Все работает нормально, но после приблизительно суток выпадает один из VPN и не может соединится с сервером, через tcpdump видно как он обменивается ключами, вроде все ок, но так и не завязывается. Проблема решается только перезапуском сервера, после чего опять связь востанавливается

[bacula]: RunBeforeJob выполняется от uid bacula
Как разрешить пользователю очищать очередь сетевого принтера ?
Ответ на: комментарий от Deleted

как я знаю ipsec (оборудование не наше), используется Cisco VPN

Oleg_81
() автор топика
Ответ на: комментарий от BusTeR

вообще работает скрипт, который раз в минуту пингует гугл, и если запрос не проходит, делает реконект модема. А так то пробывал и выключать модем, все равно потом связь не восстанавливается, только после ребута ПК

Oleg_81
() автор топика
Ответ на: комментарий от BusTeR

нет к разным первый к 11.11.11.11 второй к 22.22.22.22 при этом что заметил, отваливается связь только на одном из них (рандомно, закономерности не нашел)

Oleg_81
() автор топика
Ответ на: комментарий от Oleg_81

Интерфейс с pppoe всегда получает статический адрес или динамичекский?

Попробуйте, когда оба клиента будут в коннекте принулительно разорвать pppoe соединение и потом его поднять.

BusTeR
()
Ответ на: комментарий от BusTeR

нет, получается, внутри серверы, а с ними уже соединяются клиенты с интернета. Клиент 11.11.11.11 соединяется с сервером 192.168.1.2 через 77.77.77.77 Клиент 22.22.22.22 соединяется с сервером 192.168.1.3 через 77.77.77.77

Оборудование не наше, изменить не чего не можем.

Oleg_81
() автор топика
Ответ на: комментарий от Oleg_81

ну я тогда хз...сервер выполняет ещё каие-то функции, кроме маршрутизации? есть какое-нибудь специфическое ПО?

BusTeR
()
Ответ на: комментарий от BusTeR

да, вот и сами ломаем голову
ещё подгружается

$MODPROBE ip_conntrack
$MODPROBE iptable_nat

боле не каких функций на нем не лежит

может я скину все правила iptabkes (я в нем не сильно разбераюсь, и правила создавались по схеме - прочитал - попробывал - если заработало не меняем иначе пробуем другое)

Oleg_81
() автор топика
Ответ на: комментарий от Oleg_81

вот только что опять вылетело, вот что пишет tcpdump

root@server:~# tcpdump -n -i eth4 src or dst 192.168.4.4
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth4, link-type EN10MB (Ethernet), capture size 65535 bytes
16:35:27.834126 IP 192.168.4.4.500 > 11.11.11.11.500: isakmp: phase 1 I ident
16:35:28.008082 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 R ident
16:35:28.015525 IP 192.168.4.4.500 > 11.11.11.11.500: isakmp: phase 1 I ident
16:35:28.213121 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 ? ident
16:35:28.215059 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 R ident
16:35:28.266446 IP 192.168.4.4.4500 > 11.11.11.11.4500: NONESP-encap: isakmp: phase 1 I ident[E]
16:35:28.715856 IP 192.168.4.4.4500 > 11.11.11.11.4500: NONESP-encap: isakmp: phase 1 ? ident[E]
16:35:29.534126 IP 192.168.4.1 > 192.168.4.4: GREv0, length 120: IP 10.1.255.193 > 224.0.0.5: OSPFv2, Hello, length 80
16:35:38.211153 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 ? ident
16:35:38.214163 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 R ident
16:35:38.713022 IP 192.168.4.4.4500 > 11.11.11.11.4500: NONESP-encap: isakmp: phase 1 ? ident[E]
16:35:38.716968 IP 192.168.4.4.4500 > 11.11.11.11.4500: NONESP-encap: isakmp: phase 1 I ident[E]
16:35:39.179168 IP 192.168.4.1 > 192.168.4.4: GREv0, length 120: IP 10.1.255.193 > 224.0.0.5: OSPFv2, Hello, length 80
16:35:48.210215 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 ? ident
16:35:48.214211 IP 11.11.11.11.500 > 192.168.4.4.500: isakmp: phase 1 R ident
16:35:48.486227 IP 192.168.4.1 > 192.168.4.4: GREv0, length 120: IP 10.1.255.193 > 224.0.0.5: OSPFv2, Hello, length 80
16:35:48.714199 IP 192.168.4.4.4500 > 11.11.11.11.4500: NONESP-encap: isakmp: phase 1 ? ident[E]
16:35:48.718113 IP 192.168.4.4.4500 > 11.11.11.11.4500: NONESP-encap: isakmp: phase 1 I ident[E]

18 packets captured
18 packets received by filter
0 packets dropped by kernel

Oleg_81
() автор топика
Ответ на: комментарий от Oleg_81

Скорее всего это не iptables раз оно работало до этого.
Хотя есть вопросы по правилам NAT-а. Я не пойму зачем столько правил.
Я, к примеру, для сети 192.168.0.0/24 делаю
iptable -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
и все! Больше никаких правил.
И зачем Вы потом делаете SNAT, если всего один внешний реальный IP-адрес?
Но это всё равно врятли относится к Вашей проблеме, т.к. у одного из пользователей все работает...

BusTeR
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[bacula]: RunBeforeJob выполняется от uid bacula
Admin
Как разрешить пользователю очищать очередь сетевого принтера ?