URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83333
[ Назад ]

Исходное сообщение
"VPN и выдача реального адреса"
Отправлено Cramac1 , 13-Дек-08 11:12

Всем привет. Подскажите как реализовать такое:
сейчас есть сеть и маршрутизатор
на нем две сетевые, одна смотрит в нет, вторая в сеть.
интернет раздается по ВПН, клиенту выдается серый ИП.
зона серых ИП натиться на интерфейс который смотрит в нет:
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source хх.хх.хх.210
по умолчанию iptables -P FORWARD DROP
кого выпускаем, создаем правило на вход и выход

в итоге имеем:
eth0 xx.xxx.xx.210 маска 255.255.255.240 шлюз хх.ххх.хх.209
eth1 хх.хх.хх.1 маска 255.255.255.0 шлюза хх.хх.хх.254
провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240
как сделать, что бы клиент подключившись по ВПН и получив ИП (xx.xxx.xx.211/255.255.255.255) выходил в нет ?

Содержание

VPN и выдача реального адреса,Cramac1, 12:02 , 13-Дек-08
- VPN и выдача реального адреса,Cramac1, 12:47 , 13-Дек-08
  - VPN и выдача реального адреса,coredx, 12:55 , 13-Дек-08
    - VPN и выдача реального адреса,Cramac1, 13:25 , 13-Дек-08
      - VPN и выдача реального адреса,Cramac1, 14:43 , 13-Дек-08
        
        VPN и выдача реального адреса,Oyyo, 09:20 , 14-Дек-08
        
        VPN и выдача реального адреса,Cramac1, 16:15 , 14-Дек-08
        
        VPN и выдача реального адреса,Cramac1, 17:10 , 14-Дек-08
        
        VPN и выдача реального адреса,Cramac1, 17:32 , 14-Дек-08
        
        VPN и выдача реального адреса,Oyyo, 01:11 , 15-Дек-08
        
        VPN и выдача реального адреса,Cramac1, 20:53 , 15-Дек-08

Сообщения в этом обсуждении

"VPN и выдача реального адреса"
Отправлено Cramac1 , 13-Дек-08 12:02

при добавление правила
iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT
доступ в наружу и из получает только адрес хх.хх.хх.217 остальные 211-216 не получают прохода...

"VPN и выдача реального адреса"
Отправлено Cramac1 , 13-Дек-08 12:47

>при добавление правила
>iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT
>
>доступ в наружу и из получает только адрес хх.хх.хх.217 остальные 211-216 не
>получают прохода...
добавив такое правило мы можем разрешить всем ходить в инет с 210 по 222 если поставить обраное правило из ppp+ в eth0
но как разрешать только определенным ип доступ?
добавляя
iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT
и обратное правило, народ не получает доступа в инет

"VPN и выдача реального адреса"
Отправлено coredx , 13-Дек-08 12:55

>[оверквотинг удален]
>>доступ в наружу и из получает только адрес хх.хх.хх.217 остальные 211-216 не
>>получают прохода...
>
>добавив такое правило мы можем разрешить всем ходить в инет с 210
>по 222 если поставить обраное правило из ppp+ в eth0
>
>но как разрешать только определенным ип доступ?
>добавляя
>iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT
>и обратное правило, народ не получает доступа в инет
А почему на каждый ип не сделать так:
iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT
iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT

"VPN и выдача реального адреса"
Отправлено Cramac1 , 13-Дек-08 13:25

>А почему на каждый ип не сделать так:
>iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT
>iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT
так тоже пробовал, не идет.
Ходит если разрешить всю подсеть..
iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT

"VPN и выдача реального адреса"
Отправлено Cramac1 , 13-Дек-08 14:43

>>А почему на каждый ип не сделать так:
>>iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT
>>iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT
>
>так тоже пробовал, не идет.
>Ходит если разрешить всю подсеть..
>iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT
если так разрешить, доступ почему то получает только адрес 217

"VPN и выдача реального адреса"
Отправлено Oyyo , 14-Дек-08 09:20

>>>А почему на каждый ип не сделать так:
>>>iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT
>>>iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT
>>
>>так тоже пробовал, не идет.
>>Ходит если разрешить всю подсеть..
>>iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT
>
>если так разрешить, доступ почему то получает только адрес 217
странно что 217 получет доступ, либо никто, либо все
какие параметры получают клиенты по ВПН и вывод ifconfig в студию

"VPN и выдача реального адреса"
Отправлено Cramac1 , 14-Дек-08 16:15

>[оверквотинг удален]
>>>>iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT
>>>
>>>так тоже пробовал, не идет.
>>>Ходит если разрешить всю подсеть..
>>>iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT
>>
>>если так разрешить, доступ почему то получает только адрес 217
>
>странно что 217 получет доступ, либо никто, либо все
>какие параметры получают клиенты по ВПН и вывод ifconfig в студию
ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:4D:01:ED:3D
          inet addr:xx.xx.137.210  Bcast:xx.xx.137.223  Mask:255.255.255.240
          inet6 addr: fe80::2e0:4dff:fe01:ed3d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:60301864 errors:0 dropped:0 overruns:0 frame:0
          TX packets:51696407 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1578925684 (1.4 GiB)  TX bytes:2019490841 (1.8 GiB)
          Interrupt:20 Base address:0x2800
eth1      Link encap:Ethernet  HWaddr 00:80:48:1A:86:92
          inet addr:10.10.10.1  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::280:48ff:fe1a:8692/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:56987977 errors:0 dropped:0 overruns:0 frame:0
          TX packets:75461171 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:169819460 (161.9 MiB)  TX bytes:49719368 (47.4 MiB)
          Interrupt:21 Base address:0x2c00
ppp35     Link encap:Point-to-Point Protocol
          inet addr:10.10.10.1  P-t-P:xx.xx.137.211  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:43 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4288 (4.1 KiB)  TX bytes:152 (152.0 b)
pptpd.conf
option /etc/ppp/options
#noipparam
connections 2000
stimeout 10
localip 10.10.10.1
remoteip 192.168.0.0-254,192.168.254.0-254,192.168.253.0-254,192.168.252.0-254
options
auth
name pptpd
#require-chap
require-mschap-v2
#require-mppe-128
ms-dns 10.10.10.1
local
10.10.10.1:
#nologfd
lcp-echo-failure 30
lcp-echo-interval 5
plugin radius.so
plugin radattr.so

"VPN и выдача реального адреса"
Отправлено Cramac1 , 14-Дек-08 17:10

при этом даже интерфейс eth0 не пингуется, если подключится (по впн) с реальным ип.

"VPN и выдача реального адреса"
Отправлено Cramac1 , 14-Дек-08 17:32

route
xx.xx.xx.211    *               255.255.255.255 UH    0      0        0 ppp1
xx.xx.xx.208    *               255.255.255.240 U     0      0        0 eth0
10.10.10.0      *               255.255.255.0   U     10     0        0 eth1
10.10.0.0       10.10.10.254    255.255.0.0     UG    0      0        0 eth1
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     10     0        0 eth1
default         xx.xx.xx.209    0.0.0.0         UG    10     0        0 eth0

"VPN и выдача реального адреса"
Отправлено Oyyo , 15-Дек-08 01:11

в качестве шлюза что отдаётся клиенту?

"VPN и выдача реального адреса"
Отправлено Cramac1 , 15-Дек-08 20:53

>в качестве шлюза что отдаётся клиенту?
на стороне клиента? или на сервере где посмотреть?