Ситуация:
Сервер vpn (линукс) 192.168.1.254
Локальная сеть с адресами 192.168.1.0/24 и 192.168.2.0/24 (между ними маршрутизатор). Обе сети пингуются нормально. При подключении по vpn клиенту (Винда) выдается адрес 10.0.0.1/24, у сервера 10.0.0.254. Клиент пингует только свою локальную сеть 192.168.1.0/24, сеть 2.0/24 не пингует.
cat /proc/sys/net/ipv4/ip_forward 1В цепочке FORWARD
Chain FORWARD (policy DROP 18973 packets, 1243K bytes)
pkts bytes target prot opt in out source destination
473K 221M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
4 188 DROP all -- * * !10.0.0.0/24 0.0.0.0/0Хочется чтобы сеть 192.168.2.0/24 пинговалось при установленом VPN подключении.
>пингуются нормально. При подключении по vpn клиенту (Винда) выдается адрес 10.0.0.1/24,
>у сервера 10.0.0.254. Клиент пингует только свою локальную сеть
Скорее всего после подключения к vpn-серверу default gateway устанавливается на 10.0.0.254, а в FORWARD разрешено хождение только адресов из 10.0.0.0/24.
>>пингуются нормально. При подключении по vpn клиенту (Винда) выдается адрес 10.0.0.1/24,
>>у сервера 10.0.0.254. Клиент пингует только свою локальную сеть
>Скорее всего после подключения к vpn-серверу default gateway устанавливается на 10.0.0.254, а
>в FORWARD разрешено хождение только адресов из 10.0.0.0/24.Да так и есть!
ради чистоты эксперимента разрешил forward всех пакетов со всех интерфейсов (третье правило):Chain FORWARD (policy ACCEPT 17460 packets, 877K bytes)
num pkts bytes target prot opt in out source destination
1 17459 1247K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
2 481K 224M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 23 1132 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
4 345 19454 ACCEPT all -- * * 10.0.0.0/24 0.0.0.0/0
Ситуация никоим образом не изменилась ((
>>>пингуются нормально. При подключении по vpn клиенту (Винда) выдается адрес 10.0.0.1/24,
>>>у сервера 10.0.0.254. Клиент пингует только свою локальную сеть
>>Скорее всего после подключения к vpn-серверу default gateway устанавливается на 10.0.0.254, а
>>в FORWARD разрешено хождение только адресов из 10.0.0.0/24.
>
>Да так и есть!
>ради чистоты эксперимента разрешил forward всех пакетов со всех интерфейсов (третье правило):
>
>
>Chain FORWARD (policy ACCEPT 17460 packets, 877K bytes)
>num pkts bytes target prot opt
>in out source
>
> destination
>1 17459 1247K LOG
> all -- *
> * 0.0.0.0/0
> 0.0.0.0/0
> LOG flags
>0 level 4
>2 481K 224M ACCEPT
> all -- *
>* 0.0.0.0/0
> 0.0.0.0/0
> state RELATED,ESTABLISHED
>3 23 1132 ACCEPT
> all -- *
> * 0.0.0.0/0
> 0.0.0.0/0
>
>4 345 19454 ACCEPT
> all -- *
>* 10.0.0.0/24
> 0.0.0.0/0
>
>
>
>
>Ситуация никоим образом не изменилась ((iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -d 192.168.2.0/24 -j MASQUERADE
Только маскарадом работает ((
После соединения с VPN у пакетов source ip будет из 10.0.0.0/24. Компы из 192.168.2.0/24 не знают, где находится 10.0.0.0/24 и посылают ответы на default gw (192.168.2.254?), у которого тоже нет такого маршрута.
ИМХО проще на компах из 192.168.1.0/24 прописать маршрут:
route -p add 192.168.0.0 mask 255.255.0.0 192.168.1.254
Да статические маршруты на клиентах было бы не плохо! но есть ряд причин по которым я не могу их использовать.... вот если бы их можно было автоматом отдавать, например по DHCP...
>Да статические маршруты на клиентах было бы не плохо! но есть ряд
>причин по которым я не могу их использовать.... вот если бы
>их можно было автоматом отдавать, например по DHCP...Не получится. Когда я начинал все это настраивать тоже были мысли по поводу маршрута через DHCP. Максимум, что удалось найти - это в Microsoft DHCP параметр "033 Статический маршрут". Но это только до хоста, а не подсети.