форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"vpn routing"

Сообщение от ival (??) on 17-Апр-06, 22:38

У провайдера настройка ipишника по dhcp а выход в инет через vpn. У vpn сервера несколько ip адрессов и DNS циклически выдает один из них при каждом запросе. Весь список может менятся (было уже 1 раз). Все адреса не принадлежат подсети, которую возвращает dhcp. Адрес сервера внутри vpn совпадает с адресом сервера внутри локалки. Эксперементально установленно, что если для каждого ip сервера не прописан явно маршрут до начала соединения, vpn не работает (т.е прописывание маршрута для всей сети в которой лежат ip адресса servera не помогает). Решил все-таки попробовать обойтись без прямого прописывания маршрутов. Прописал: iptables -t mangle -A OUTPUT -p gre -j MARK --set-mark 1 iptables -t mangle -A OUTPUT -p tcp --dport 1723 -j MARK --set-mark 1 iptables -t filter -A INPUT -p tcp -j LOG --log-prefix " input.filter " iptables -t filter -A INPUT -p gre -j LOG --log-prefix " input.filter " ip route add <до локальных ресурсов> table main ip route add default via <gw> table pptp ip rule add priority 1 fwmark 1    table pptp Затем: ping www.ru, tcpdump -ni ppp0 , ethereal на eth1 Видно как пинги уходят в ppp0, потом идут на vpnserver. Ответы возвращаются в eth1, достигают -J LOG в INPUT сhain, но pingи из ppp0 не появляются Судя по всему до процессов pptp и pppd ни gre ни tcp пакеты не доходят (ни один echo request не отвечен, а по tcp со стороны сервера идет ретрансляция) Через 2 минуты vpn падает/ В чем может быть дело?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "vpn routing"

Сообщение от vvvua (ok) on 18-Апр-06, 13:48

Очень непонятно написано. Чуть подробнее, желательно с адресами. Только если менять на другие адреса - то в начале, а не в конце. Указать с масками. Желательно нарисовать топологию.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	2. "vpn routing"
	Сообщение от ival (??) on 18-Апр-06, 17:19
	>Очень непонятно написано. Чуть подробнее, желательно с адресами. Только если менять на >другие адреса - то в начале, а не в конце. Указать >с масками. Желательно нарисовать топологию. Комп находится в сети 10.56.0.0/16 gw 10.56.0.17 Aдреса vpn servera 195.14.40.7 195.14.40.8 195.14.40.9 195.14.40.13 195.14.40.14 195.14.40.15 195.14.40.6 После подключения (в данный момент к 195.14.50.6): vpn server внутри vpn имеет адрес 195.14.50.6, комп 89.178.60.162 default gw изменилось после подклNjgjючения на 195.14.50.6 Если перед установкой соединения прописать for i in <адреса> ; do     ip route add $i/32 via 10.56.0.17 done то все работает. Если вместо цикла прописать ip route add 195.14.40.0/24 via 10.56.0.17, то ничего не работает. Попытался исправить помечая пакеты, идущие от ppt и pppd: iptables -t mangle -A OUTPUT -p gre -j MARK --set-mark 1 iptables -t mangle -A OUTPUT -p tcp --dport 1723 -j MARK --set-mark 1 и прописывая для них маршрут ip rule add priority 1 fwmark 1 table pptp ip route add default via 10.56.0.17 table pptp После этого исходящие пакеты уходят как положено, но приходящие теряются между INPUT chain и процессами pptp,pppd Топологию не знаю, но не вней дело. Проблема внутри компа.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	3. "vpn routing"
	Сообщение от vvvua (ok) on 18-Апр-06, 20:40
	195.14.40.x или 195.14.50.x ? нет ли тут ошибки? Кроме того, правило: vpn server должен быть достижим по маршруту, отличному от default. Т.е. >for i in <адреса_VPN_SERVER> ; do >    ip route add $i/32 via 10.56.0.17 >done делает всё правильно. если адрес впн ресолвится по днс, то ip_list=`host -a YOUR_VPN_SERVER_DOMAIN | grep IN | grep A | grep -v grep | awk '{print $5}'` for i in $ip_list do     ip route add $i/32 via 10.56.0.17 done
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

	4. "vpn routing"
	Сообщение от ival (??) on 18-Апр-06, 23:20
	>195.14.40.x или 195.14.50.x ? нет ли тут ошибки? Извиняюсь. 195.14.40.x. Просто DNSы 195.14.50.1 195.14.50.21, отсюда и описка. В предыдущем посте s/195.14.50/195.14.40/ >Кроме того, правило: >vpn server должен быть достижим по маршруту, отличному от default. >Т.е. > >>for i in <адреса_VPN_SERVER> ; do >>    ip route add $i/32 via 10.56.0.17 >>done > >делает всё правильно. Меня интересует вопрос почему команды ip route add 195.14.40.0/24 via 10.56.0.17 ip route add 195.14.50.0/24 via 10.56.0.17 iptables -t mangle -A OUTPUT -p gre -j MARK --set-mark 1 iptables -t mangle -A OUTPUT -p tcp --dport 1723 -j MARK --set-mark 1 ip rule add priority 1 fwmark 1 table 1 ip route add default via 10.56.0.17 table 1 iptables -t filter -A INPUT -p tcp --sport 1723 -j LOG --log-prefix " input.filter " iptables -t filter -A INPUT -p gre -j LOG --log-prefix " input.filter " не решают проблему. Учитывая при этом, что ответы на pingи приходят (видно в ethereal), и, благодаря двум последним правилам, отмечаются в логе. все default policy в iptables - ACCЕPT
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]