LINUX.ORG.RU

Сообщения gufin

 

Посоветуйте дата-центр

Всем доброго времени суток. Товарищи посоветуйте заграничный дата центр где можно хранить свой сервер.

gufin
()

Маршрутизация 3х сетей.

Товарищи всем доброго времени суток. У меня следующая проблема: никак не получается настроить маршрутизацию. Есть машина_1 на ней 3 интерфейса:

eth0      Link encap:Ethernet  HWaddr 00:15:58:94:c5:26
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::215:58ff:fe94:c526/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:387653 errors:4901 dropped:0 overruns:0 frame:0
          TX packets:413810 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:90198532 (90.1 MB)  TX bytes:232238702 (232.2 MB)

eth1      Link encap:Ethernet  HWaddr 00:30:4f:4c:51:f1
          inet addr:192.168.20.1  Bcast:192.168.20.255  Mask:255.255.255.0
          inet6 addr: fe80::230:4fff:fe4c:51f1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3061 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2230 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:297142 (297.1 KB)  TX bytes:280778 (280.7 KB)

eth2      Link encap:Ethernet  HWaddr 5c:d9:98:f5:89:25
          inet addr:xx.yy.zz.tt  Bcast:xx.yy.zz.bb  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2169252 errors:0 dropped:6934 overruns:0 frame:0
          TX packets:364190 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:396898590 (396.8 MB)  TX bytes:88825694 (88.8 MB)
И есть машина_2 на ней 2 интерфейса
eth0      Link encap:Ethernet  HWaddr 00:0e:a6:97:60:32
          inet addr:192.168.20.2  Bcast:192.168.20.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:a6ff:fe97:6032/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1491 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1976 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:189169 (189.1 KB)  TX bytes:188547 (188.5 KB)

eth2      Link encap:Ethernet  HWaddr 90:94:e4:82:0f:1b
          inet addr:192.168.40.253  Bcast:192.168.40.255  Mask:255.255.255.0
          inet6 addr: fe80::9294:e4ff:fe82:f1b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4261 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2352 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:494612 (494.6 KB)  TX bytes:284972 (284.9 KB)
Форвардинг включен на обеих машинах. Машина_1 раздает интернет для пользователей сети 192.168.10.0/24. Я добавил маршруты. На машине_1
sudo route add -net 192.168.40.0 netmask 255.255.255.0 gw 192.168.20.1
На машине_2
sudo route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.20.2
Необходимо что пользователи сети 192.168.40.0/24 могли пинговать машины из 192.168.10.0/24 и наоборот. А так же пользователи сети 192.168.40.0/24 должны получить доступ в интернет через машину_1. Сейчас я с машины_2 могу пинговать адреса 192.168.10.1 но мне не видны компы из сети 192.168.10.0/24. Помогите плз :)

gufin
()

Посоветуйте хостинг.

Подскажите, что лучше купить готовый хостинг в России (r01, например), или купить виртуальный сервер на hetzner (VQ 7/VQ 12). Для динамического сайта со средней посещаемостью ?

gufin
()

Где арендовать выделенный сервер?

Возможно не совсем по теме, но все же. Подскажите какие-нибудь надежные конторы в Финляндии, Германии (мб еще какая-нибудь относительно близкая страна). Что хочется получить: возможность поставить там свою ОС(возможно не лицензионную), безлимитный трафик, не очень мощную машину (планируется крутить там 1с на 3-4 человека) и платить за все это 100 - 150 евро в месяц. Спасибо.

gufin
()

iptables, поделись рабочим конфигом !

Товарищи, всем доброго времени суток. Поделитесь плз своим рабочим конфигом, который работает в версии iptables 1.4.4, большая часть конфигов из гугла под эту версию уже не работает. А если конфиг будет еще и с комментариями, это будет просто замечательно.

gufin
()

Проблема с маршрутами (SIOCADDRT: No such process)

Столкнулся с следующей проблемой. Моя задача заключается в том, что бы vpn-сервер видел сеть за vpn-клиентом. Сервер Ubuntu 9.04, клиент на windows xp sp3 + там Kerio Winroute Firewall (настроен точно правильно). 192.168.100.0 - vpn сеть; 192.168.116.0 - сеть за сервером; 192.168.115.0 - сеть за клиентом; Сервер имеет статический внешний ip xx.yy.zz.203; Клиент подключается к инету через мегафон 3g (dhcp);

Подключаюсь клиентом к серверу, и клиентом пингую vpn-сеть (192.168.100.1) пингую сеть за сервером (192.168.116.1). С vpn-сервера пингую клиентский vpn-адрес (192.168.100.6), пингую адрес клиента но только уже по адресу той сети (192.168.115.1)в этом случае пинги не проходят. Добавляю на vpn-сервер маршрут который вроде как должен решить мою проблему:

sudo route add -net 192.168.115.0     netmask 255.255.255.0    gw 192.168.100.6 dev tun0
и получаю ошибку
SIOCADDRT: No such process
В чем ошибка не понимаю :(

Помогите, плз.

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:50:ba:54:69:77
          inet addr:192.168.116.32  Bcast:192.168.116.255  Mask:255.255.255.0
          inet6 addr: fe80::250:baff:fe54:6977/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10530237 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5160141 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:3768357733 (3.7 GB)  TX bytes:969070497 (969.0 MB)
          Прервано:17 Base address:0xc000

eth1      Link encap:Ethernet  HWaddr 00:50:ba:5c:76:3d
          inet addr:xx.yy.zz.203  Bcast:xx.yy.zz.207  Mask:255.255.255.240
          inet6 addr: fe80::250:baff:fe5c:763d/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:36311179 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6288784 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:3238889588 (3.2 GB)  TX bytes:3722882270 (3.7 GB)
          Прервано:19 Base address:0xc400

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:484 errors:0 dropped:0 overruns:0 frame:0
          TX packets:484 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:43952 (43.9 KB)  TX bytes:43952 (43.9 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.100.1  P-t-P:192.168.100.2  Mask:255.255.255.255
          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:5080970 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5642022 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:100
          RX bytes:881206101 (881.2 MB)  TX bytes:3226325753 (3.2 GB)

route -n

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.2   0.0.0.0         255.255.255.255 UH    0      0        0 tun0
xx.yy.zz.192    0.0.0.0         255.255.255.240 U     1      0        0 eth1
192.168.116.0   0.0.0.0         255.255.255.0   U     1      0        0 eth0
192.168.100.0   192.168.100.2   255.255.255.0   UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth1
0.0.0.0         xx.yy.zz.193    0.0.0.0         UG    0      0        0 eth1

gufin
()

Вход по паролю в openVPN

Знаю, что можно, что бы при подключении openvpn сервер по мимо сертификатов спрашивал еще и пароль. Подскажите, с помощью чего такое можно реализовать ?

gufin
()

проблема с openVPN, не видно сеть за серввером.

Всем доброго времени суток. Столкнулся со следующей проблемой. Подключение проходит успешно с клиента пингую адрес сервера (192.168.100.1) и наоборот, но не пингую сеть за сервером (192.168.116.0/24). Насколько я понимаю, косяк где-то в настройках маршрутизации и iptables, но не врубаюсь где именно. И все это происходит при следующих параметрах :

192.168.100.0/24 - VPN сеть 192.168.116.0/24 - сеть за сервером 192.168.116.32 - адрес сервера 1 192.168.100.1 - адрес сервера vpn xx.yy.zz.203 - внешний адрес сервера

Интерфейсы eth0 ip 192.168.116.32 mask 255.255.255.0 - -

eth1 IP xx.yy.zz.203 Маска 255.255.255.240 Шлюз xx.yy.zz.193

tun0

ip 192.168.100.1 mask 255.255.255.0

Команда route на сервере:

Таблица маршрутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.2   *               255.255.255.255 UH    0      0        0 tun0
xx.yy.zz.192    *               255.255.255.240 U     1      0        0 eth1
192.168.116.0   *               255.255.255.0   U     1      0        0 eth0
192.168.100.0   192.168.100.2   255.255.255.0   UG    0      0        0 tun0
link-local      *               255.255.0.0     U     1000   0        0 eth1
default         xx.yy.zz.193    0.0.0.0         UG    0      0        0 eth1

Команда route на подключенном клиенте:

Активные сетевые маршруты:
Сетевой адрес           Маска сети      Адрес шлюза        Интерфейс  Метрика 
          0.0.0.0          0.0.0.0      192.168.0.1   192.168.0.100	  20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
      192.168.0.0    255.255.255.0    192.168.0.100   192.168.0.100	  20
    192.168.0.100  255.255.255.255        127.0.0.1       127.0.0.1	  20
    192.168.0.255  255.255.255.255    192.168.0.100   192.168.0.100	  20
    192.168.100.0    255.255.255.0    192.168.100.5   192.168.100.6	  1
    192.168.100.4  255.255.255.252    192.168.100.6   192.168.100.6	  30
    192.168.100.6  255.255.255.255        127.0.0.1       127.0.0.1	  30
  192.168.100.255  255.255.255.255    192.168.100.6   192.168.100.6	  30
        224.0.0.0        240.0.0.0    192.168.0.100   192.168.0.100	  20
        224.0.0.0        240.0.0.0    192.168.100.6   192.168.100.6	  30
  255.255.255.255  255.255.255.255    192.168.0.100   192.168.0.100	  1
  255.255.255.255  255.255.255.255    192.168.100.6           10005	  1
  255.255.255.255  255.255.255.255    192.168.100.6   192.168.100.6	  1
  255.255.255.255  255.255.255.255    192.168.100.6               3	  1
Основной шлюз:         192.168.0.1

конфиг сервера

port 1194
proto udp
dev tun
;dev-node tap0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key # This file should be kept secret
dh /etc/openvpn/keys/dh1024.pem
server 192.168.100.0  255.255.255.0 # vpn subnet
ifconfig-pool-persist "/etc/openvpn/config/ipp.txt"
push "route 192.168.100.0 255.255.255.0"
push "route 192.168.116.0 255.255.255.0"
;duplicate-cn
keepalive 10 120
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/log/openvpn-status.log
log /etc/openvpn/log/openvpn.log
log-append /etc/openvpn/log/openvpn.log
verb 3
mute 20
client-to-client
client-config-dir /etc/openvpn/ccd

В папке /etc/openvpn/ccd лежит файл client1 (имя сертификата под которым подключается клиент) с содержимым:
iroute 192.168.116.0 255.255.255.0

Конфиг клиента

client
dev tun
proto udp
remote xx.yy.zz.203 1194
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca geo\\ca.crt
cert geo\\client1.crt
key geo\\client1.key
comp-lzo
verb 3
mute 20

В iptables пробовал следующие варианты:

Вариант1

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

Вариант2. Запускал такой скрипт.

# маски используемых сетей
IP_LAN="192.168.116.1/24" # моя домашняя сеть


# интерфейсы

IF_LAN="eth0" # сюда подключена локальная сеть
IF_INET="eth1" # сюда "подключен" интернет
IF_VPN="tun0" # это интерфейс нашего vpn

IPT="iptables"

# cleaning:
$IPT --flush
$IPT -t nat --flush
$IPT -t mangle --flush
$IPT -X

# тут по желанию и степени паранои
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# allow loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

###
# local host:

# allow outgoing connections:
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# разрешаем подключения к vpn
$IPT -A INPUT -p udp --dport 1194 -j ACCEPT

# разрешаем NAT из локальной сети и VPN:

$IPT -t nat -A POSTROUTING -o $IF_INET -j MASQUERADE


$IPT -A FORWARD -i $IF_LAN -o $IF_INET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_INET -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT


$IPT -A FORWARD -i $IF_VPN -o $IF_INET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_INET -o $IF_VPN -m state --state ESTABLISHED,RELATED -j ACCEPT

Вариант3.

iptables -A FORWARD -i eth1 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth1 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT

iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Еще я не очень понимаю как опередлит какой набор правил в iptables работает в данный момент. между каждым вариантами правил делал очистку iptables --flush iptables -t nat --flush iptables -t mangle --flush iptables -X

Форвардинг тоже включен. Т.е в /etc/sysctl.conf

net.ipv4.ip_forward = 1 net.ipv4.ip_dynaddr = 1

Еще в лога клиента проскакивает вот такая ошибка:

Mon Nov 23 23:48:40 2009 us=104299 PUSH: Received control message: 'PUSH_REPLY,route 192.168.100.0 255.255.255.0,route 192.168.100.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 192.168.100.6 192.168.100.5'
Mon Nov 23 23:48:40 2009 us=104355 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: topology (2.0.9)

Подскажите, что я делаю не так. Спасибо )

gufin
()

RSS подписка на новые темы