LINUX.ORG.RU
ФорумAdmin

VPN


0

1

Всем доброго времени суток. Я в linux можно сказать чайник поэтому просьба особо не пинать:) Проблема такая есть сервер с Centos 5.5 на нем установлен VPN клиентская машина подключается с Windows7. Подключение проходит нормально, но инета на клиенте нет... По форумам налазился так, что сам себя и запутал... Пинг с клиента до сервера проходит, а вот с сервера на клиент пинга нет. Если нужно выложить какие файлы я выложу, просто если честно не знаю какие могут понадобиться. Сам понимаю что накосячил с маршрутизацией, а вот где понять не могу. Фаил с конфигом iptables сейчас выложу

# Generated by iptables-save v1.3.5 on Tue Apr 16 11:15:50 2013

*nat

:PREROUTING ACCEPT [76589:7511775]

:POSTROUTING ACCEPT [3:229]

:OUTPUT ACCEPT [978:62263]

-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT

# Completed on Tue Apr 16 11:15:50 2013

# Generated by iptables-save v1.3.5 on Tue Apr 16 11:15:50 2013

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [18991:2840811]

:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT

-A INPUT -s 172.26.0.0/255.255.0.0 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT

-A FORWARD -j RH-Firewall-1-INPUT

-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT

-A FORWARD -s 172.26.0.0/255.255.0.0 -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT

-A FORWARD -d 172.26.0.0/255.255.0.0 -i eth0 -m state --state ESTABLISHED -j ACCEPT

-A OUTPUT -d 172.26.0.0/255.255.0.0 -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p esp -j ACCEPT

-A RH-Firewall-1-INPUT -p ah -j ACCEPT

-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT

-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Tue Apr 16 11:15:50 2013



Последнее исправление: Shulum (всего исправлений: 2)
mod_geoip2 на apache-2.2 не определяет город
rsyslog + shell script 
echo 1 > /proc/sys/net/ipv4/ip_forward

на сервере не забыл?
Пинг до оффтопика не идет, потому что встроенный файрвол его блочит.

getup
()
Ответ на: комментарий от getup

Пинги с сервака пошли, оказывается на клиенте не пропускал брендмауэр. А инета как небыло так и нет...

Shulum
() автор топика

Я вообще не понимаю чего ты хочешь из твоего iptables-save. ты вначале пишешь: 

*nat
:PREROUTING ACCEPT [76589:7511775]
:POSTROUTING ACCEPT [3:229]
:OUTPUT ACCEPT [978:62263]

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18991:2840811]

А потом зачем-то прописываешь правила для установленных и новых соединений... настоятельно рекомендую осилить эту картинку http://blog.frolov.at/wp-content/uploads/2010/10/packet_flow9.png, а также осилить LORDCORE.

Acceptor ★★
()
Ответ на: комментарий от Shulum

Ты сделал от рута? 

echo 1 > /proc/sys/net/ipv4/ip_forward
В интернет точно смотрит eth0? Покажи с сервера 
ip route show
ip addr show
С винды 
ipconfig /all

getup
()
Ответ на: комментарий от getup 
[root@localhost ~]# ip route show
172.26.0.0/16 dev eth1  proto kernel  scope link  src 172.26.0.1 
169.254.0.0/16 dev eth1  scope link 
192.160.0.0/11 dev eth0  proto kernel  scope link  src 192.167.177.177 
default via 192.167.0.1 dev eth0 

[root@localhost ~]# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0e:04:b7:35:58 brd ff:ff:ff:ff:ff:ff
    inet 192.167.177.177/11 brd 192.191.255.255 scope global eth0
    inet6 fe80::20e:4ff:feb7:3558/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:0e:04:b7:31:2a brd ff:ff:ff:ff:ff:ff
    inet 172.26.0.1/16 brd 172.26.255.255 scope global eth1
    inet6 fe80::20e:4ff:feb7:312a/64 scope link 
       valid_lft forever preferred_lft forever
4: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop qlen 1000
    link/ether 00:0e:04:b7:33:54 brd ff:ff:ff:ff:ff:ff
5: eth3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop qlen 1000
    link/ether 50:46:5d:54:7e:26 brd ff:ff:ff:ff:ff:ff
6: sit0: <NOARP> mtu 1480 qdisc noop 
    link/sit 0.0.0.0 brd 0.0.0.0
Shulum
() автор топика
Ответ на: комментарий от Shulum

eth0 100% смотрит в интернет, и на сервере инет есть

echo 1 > /proc/sys/net/ipv4/ip_forward

сделал, ничего не поменялось...

Shulum
() автор топика
Ответ на: комментарий от Acceptor

Мне нужно чтобы клиент по VPN получал интернет, а правила для установленных и новых соединений писал т.к. клиент будет не один, а около 300. Получается мне эти правила не нужны совсем?

Shulum
() автор топика
Ответ на: комментарий от getup

забыл добавить

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : cnc
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Смешанный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Адаптер PPP VPN-подключение 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : VPN-подключение 2
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 67.215.65.132(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 172.26.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : F0-DE-F1-F9-3E-5F
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 172.26.0.2(Основной)
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Основной шлюз. . . . . . . . . : 172.26.0.1
   DNS-серверы. . . . . . . . . . . : 172.26.0.1
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер 6TO4 Adapter:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv6-адрес. . . . . . . . . . . . : 2002:43d7:4184::43d7:4184(Основной)
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 172.26.0.1
   NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Подключение по локальной сети*:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Туннельный адаптер Microsoft Teredo
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{F3D72A48-C5EA-42AD-B1B4-826CF6D77712}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{F74CB687-112E-4A0B-8F98-9847841B5FEF}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
Shulum
() автор топика
Ответ на: комментарий от Shulum

исходя из того что тут написано: 

*nat
:PREROUTING ACCEPT [76589:7511775]
:POSTROUTING ACCEPT [3:229]
:OUTPUT ACCEPT [978:62263]

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18991:2840811]

твой шлюз по-умолчанию принимает и пробрасывает ВСЕ входящие соединения. и в этом случае ESTABLISHED, NEW - ему пофигу...

Конфиг с нуля сам писал или copy/paste сделал откуда-то?

опиши целиком задачу: Какие есть сети, какие интерфейсы у шлюза куда смотрят, и скинь сюда не iptables-save, а, лучше, тот скрипт который ты накатал.

Acceptor ★★
()
Последнее исправление: Acceptor (всего исправлений: 2)
Ответ на: комментарий от Shulum

Во-первых, отключи на компе ppp-подключение 

Адаптер PPP VPN-подключение 2
IPv4-адрес. . . . . . . . . . . . : 67.215.65.132(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
Во-вторых, в качестве dns-сервера пропиши адрес dns-сервера своего провайдера или 8.8.8.8, если на шлюзе (который vpn раздает), не установлен или неправильно настроен dns.
Если после этого не заработает, нарисуй схему сети с интерфейсами и назначенными на них адресами, чтобы можно было разобраться, чего ты там наворотил.
Если же ты пытаешься подключиться к vpn снаружи (то бишь через интернет), то ppp-подключение НЕ надо отключать, а всего лишь правильно настроить маршрутизацию.
Но лучше схему сети нарисуй.

getup
()
Ответ на: комментарий от getup

У меня на сервере 2 интерфейса, eth0 (192.167.177.177) через комутатор подключен к серверу который является шлюзом (192.167.0.1), eth1 (172.26.0.1) локальный интерфейс через который я хочу раздать интернет по VPN клиентам ( пока только одному, своему ноуту), в будущем планируется раздавать около 300 клиентам. Соединение устанавливаю напрямую, через хаб. На данный момент ситуация такая, соединение проходит, пинги с обоих сторон тоже проходят, но нет интернета на ноуте

Shulum
() автор топика
Ответ на: комментарий от Shulum 
Адаптер PPP VPN-подключение 2
IPv4-адрес. . . . . . . . . . . . : 67.215.65.132(Основной)

для чего на ноуте нужен? 

route print
с ноута до и после подключения vpn. Скорей всего маршруты на клиенте неправильные.

getup
()
Ответ на: комментарий от getup

до подключения

===========================================================================
Список интерфейсов
 12...f0 de f1 f9 3e 5f ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Туннельный адаптер Microsoft Teredo
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.26.0.1       172.26.0.2    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1     51
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.26.0.0      255.255.0.0         On-link        172.26.0.2    276
       172.26.0.2  255.255.255.255         On-link        172.26.0.2    276
   172.26.255.255  255.255.255.255         On-link        172.26.0.2    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        172.26.0.2    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        172.26.0.2    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0       172.26.0.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

после подключения

Список интерфейсов
 19...........................VPN-подключение 2
 12...f0 de f1 f9 3e 5f ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
 11...00 00 00 00 00 00 00 e0 Туннельный адаптер Microsoft Teredo
 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.26.0.1       172.26.0.2   4501
          0.0.0.0          0.0.0.0         On-link     67.215.65.132     21
    67.215.65.132  255.255.255.255         On-link     67.215.65.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4276
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
       172.26.0.0      255.255.0.0         On-link        172.26.0.2   4501
       172.26.0.1  255.255.255.255         On-link        172.26.0.2   4246
       172.26.0.2  255.255.255.255         On-link        172.26.0.2   4501
   172.26.255.255  255.255.255.255         On-link        172.26.0.2   4501
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link        172.26.0.2   4502
        224.0.0.0        240.0.0.0         On-link     67.215.65.132     21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link        172.26.0.2   4501
  255.255.255.255  255.255.255.255         On-link     67.215.65.132    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0       172.26.0.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
 14   1025 2002::/16                On-link
 14    281 2002:43d7:4184::43d7:4184/128
                                    On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует
Shulum
() автор топика
Ответ на: комментарий от Shulum 
Адаптер PPP VPN-подключение 2
IPv4-адрес. . . . . . . . . . . . : 67.215.65.132(Основной)

Это при создании подключения автоматов выдает...

Shulum
() автор топика
Ответ на: комментарий от Shulum 
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.26.0.1       172.26.0.2   4501
          0.0.0.0          0.0.0.0         On-link     67.215.65.132     21

Ну вот, у тебя два маршрута по умолчанию (хрен с ней, с метрикой). Удаляешь дефолтный маршрут через 172.26.0.1.
Либо в конфиге сервера добавляешь (но не факт, что заработает) 

push «redirect-gateway def1»
Также, _наверное_, стоит на сервере добавить 
push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»
потому что ты так и не сказал, работает ли на сервере dns-сервер 
 DNS-серверы. . . . . . . . . . . : 172.26.0.1
Anyway, если для тебя это такая проблема, лучше найми человека, который настроит.

getup
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
mod_geoip2 на apache-2.2 не определяет город
Admin
rsyslog + shell script