Доброго времени суток, уважаемые завсегдатаи\гуру\линуксоиды\и прочие товарищи. Пишу вам уже в состоянии пограничном. волосы аля - взрыв на макоронной фабрике , глаза - аля уснул на стаканах.Некоторое время назад поставил я себе задачу поднять ВПН сервер с целью обеспечения нужных людей доступом в локальную сеть средствами шифрованого ВПН.
Соостветственно перед этим прочитал man pptp , pptpd pptpd.conf + не более 10 статей по установке poptop демона на линукс. Наивно полагал что прочитав всё это дело я застраховался от подводных камней на этом не легком, как оказалось, пути. Вопщем суть такова. Настроил pptpd.conf, настроил iptables, подгрузил модули.
Результат: С Windows XP sp2 (use remote router off(в свойствах tcp-ip vpn подключения)) подключаюсь, прохожу авторизацию, регистрируюсь в сети, получаю ИП.
Проблема: Не пингует всё кроме внутр интерфейса (192.168.1.105).
Конфиги:
uname -a
\\
Linux gate 2.6.27-11-server #1 SMP Thu Jan 29 20:19:41 UTC 2009 i686 GNU/Linux
\\
cat pptpd.conf
\\
ppp /usr/sbin/pppd
option /etc/ppp/options.pptpd
localip 192.168.1.105
remoteip 192.168.1.150-200
\\
cat options.pptpd
\\
lock
+chap
nobsdcomp
nodeflate
noaccomp
nopcomp
defaultroute
noipdefault
debug
refuse-pap
refuse-chap
require-mschap-v2
\\
cat iptables.sh
\\
#!/bin/bash
LOC_IP=192.168.1.105
EXT_IP=111.111.111.111
LOCAL_NETS="192.168.1.0/24";
INET="! $LOCAL_NETS";
GATEWAY="222.222.222.222";
iptables -F
iptables -Z
iptables -t nat -F
iptables -t nat -Z
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
#china
iptables -A INPUT -s 222.236.0.0/16 -p tcp -d $EXT_IP -j DROP
iptables -A INPUT -s 202.0.0.0/7 -p tcp -d $EXT_IP -j DROP
iptables -A INPUT -s 82.208.0.0/16 -p tcp -d $EXT_IP -j DROP
#zavorot
iptables -t nat -A PREROUTING -d $INET -m multiport -p tcp --dport 80,8080,8000,8081,433,4433 -j REDIRECT --to-port 3128
#chains
iptables -X F-INCOMING
iptables -X F-OUTGOING
iptables -N F-INCOMING
iptables -N F-OUTGOING
# INPUT starty
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/second -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s $LOCAL_NETS -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -s $LOCAL_NETS -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s $INET -j DROP
### eth0 - localnet
### eth1 - internet
###
#VPN
iptables -A INPUT -p TCP --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A FORWARD -i ppp+ -o eth0 -j ACCEPT
iptables -A FORWARD -o ppp+ -i eth0 -j ACCEPT
#VPN
#inet 2 all
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 --out-interface eth1 -j SNAT --to- source $EXT_IP
iptables -A FORWARD -s 192.168.1.0/24 -d $INET -j ACCEPT
iptables -A FORWARD -s $INET -d 192.168.1.0/24 -j ACCEPT
#inet 2 all
##LOG
iptables -A INPUT -s 0.0.0.0/0 -j LOG --log-prefix INPUT-DROP:
iptables -A OUTPUT -s 0.0.0.0/0 -j LOG --log-prefix OUTPUT-DROP:
iptables -A FORWARD -s 0.0.0.0/0 -j LOG --log-prefix FORWARD-DROP:
iptables -A FORWARD -d 255.255.255.255 -j DROP
iptables -A FORWARD -j F-INCOMING
iptables -A FORWARD -j F-OUTGOING
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
/sbin/iptables-save
/sbin/iptables-stop
/sbin/iptables-start
\\
lsmod | grep ip
\\
lsmod | grep ip
ipt_MASQUERADE 10752 0
ipt_LOG 13700 3
ipt_REDIRECT 9856 1
ipv6 263460 12
xt_multiport 11392 1
iptable_nat 13448 1
nf_nat 25368 6 nf_nat_ftp,ipt_MASQUERADE,nf_nat_pptp,nf_nat_proto_gre,ipt_REDIRECT,iptable_nat
nf_conntrack_ipv4 21900 4 iptable_nat,nf_nat
nf_conntrack 72032 10
nf_nat_ftp,nf_conntrack_ftp,ipt_MASQUERADE,nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,xt_state,iptable_nat,nf_nat,nf_conntrack_ipv4
iptable_mangle 10880 0
iptable_filter 10752 1
ip_tables 19600 3 iptable_nat,iptable_mangle,iptable_filter
x_tables 22916 9 ipt_MASQUERADE,ipt_LOG,xt_state,xt_limit,xt_tcpudp,ipt_REDIRECT,xt_multiport,iptable_nat,ip_tables
crypto_blkcipher 25348 1 ecb
\\
на Windows XP запущен ping 192.168.1.254 -t
tcpdump -i eth0 -n
\\
23:17:23.287569 arp who-has 192.168.1.150 tell 192.168.1.254
23:17:27.580922 IP 192.168.1.254.137 > 192.168.1.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:17:28.278890 IP 192.168.1.150 > 192.168.1.254: ICMP echo request, id 1, seq 888, length 40
23:17:28.279399 arp who-has 192.168.1.150 tell 192.168.1.254
23:17:28.330959 IP 192.168.1.254.137 > 192.168.1.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:17:29.080978 IP 192.168.1.254.137 > 192.168.1.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:17:33.276470 IP 192.168.1.150 > 192.168.1.254: ICMP echo request, id 1, seq 889, length 40
23:17:33.276981 arp who-has 192.168.1.150 tell 192.168.1.254
\\
tcpdump -i ppp0 -n
\\
23:15:45.781671 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 136
23:15:45.807693 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:46.558294 IP 192.168.1.150.138 > 255.255.255.255.138: NBT UDP PACKET(138)
23:15:47.251934 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:47.908849 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:48.060018 IP 192.168.1.150.138 > 255.255.255.255.138: NBT UDP PACKET(138)
23:15:48.109230 IP 192.168.1.150.68 > 255.255.255.255.67: BOOTP/DHCP, Request, length 300
23:15:48.281771 IP 192.168.1.150 > 192.168.1.254: ICMP echo request, id 1, seq 868, length 40 - ПИНГУЕМ 192.168.1.254
23:15:48.315849 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:48.806056 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 129
23:15:48.834171 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:48.858235 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 123
23:15:48.884012 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 136
23:15:48.913185 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:49.559101 IP 192.168.1.150.138 > 255.255.255.255.138: NBT UDP PACKET(138)
23:15:50.487699 IP 192.168.1.150.55242 > 224.0.0.252.5355: UDP, length 24
23:15:50.589200 IP 192.168.1.150.55242 > 224.0.0.252.5355: UDP, length 24
23:15:50.911672 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:51.318151 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:53.284362 IP 192.168.1.150 > 192.168.1.254: ICMP echo request, id 1, seq 869, length 40 - ПИНГУЕМ 192.168.1.254
23:15:54.320461 IP 192.168.1.150.52704 > 239.255.255.250.1900: UDP, length 133
23:15:55.319328 IP 192.168.1.150.50281 > 224.0.0.252.5355: UDP, length 24
23:15:55.419153 IP 192.168.1.150.50281 > 224.0.0.252.5355: UDP, length 24
\\
Прошу указать на ошибку и помочь разобраться. Спасибо большое за ранее всем, кто откликнется!
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 19-Мрт-09, 21:29 
