forum.opennet.ru - "Маршрутизация в цепочке VPN" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Маршрутизация в цепочке VPN"

Форум Информационная безопасность (VPN, IPSec / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Маршрутизация в цепочке VPN"	+/–
Сообщение от Kiot (ok) on 11-Июл-11, 17:09
Здравствуйте господа, возникла такая задача сделать цепочку из 2х впн, по вот такой схеме: users <--10.10.10.0--> VPN1 <--10.10.0.0--> VPN2 <---1.1.1.2---> "internet" проблема с пробросом соединения на точке VPN1, уже выкурил столько манов, что дым из ушей идет, в частности пытался использовать следующие настройки, найденые на одном из форумов: echo '150 vpn.out' >> /etc/iproute2/rt_tables ip rule add fwmark 1 table vpn.out iptables -t mangle -A PREROUTING -s 10.10.10.0/24 -i tun0 -j MARK --set-mark 1 iptables -t nat -A POSTROUTING -m mark --mark 1 -s 10.10.0.0/24 -o tun1 -j MASQUERADE ip route add default dev tun1 table vpn.out Эффекта получил 0 =) при стандартной настройке маскарадинга типа iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE все работает, но соответственно только через 1 точку. На второй точке тоже все норм настроено. Если что, камнями не бросать, поиском пользовался, по здешним местам ничего не нашел, подскажите пожалуйста!!!
Ответить \| Правка \| Cообщить модератору

Оглавление

Маршрутизация в цепочке VPN, Kiot, 00:00 , 12-Июл-11, (1)
Маршрутизация в цепочке VPN, reader, 10:59 , 12-Июл-11, (2)

Маршрутизация в цепочке VPN, Kiot, 12:00 , 12-Июл-11, (3)

Маршрутизация в цепочке VPN, Kiot, 12:00 , 12-Июл-11, (4)

Маршрутизация в цепочке VPN, reader, 15:19 , 12-Июл-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Маршрутизация в цепочке VPN" +/–

Сообщение от Kiot (ok) on 12-Июл-11, 00:00

И никто не подскажет?! =(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Маршрутизация в цепочке VPN" +/–

Сообщение от reader (ok) on 12-Июл-11, 10:59

>[оверквотинг удален]
> users <--10.10.10.0--> VPN1 <--10.10.0.0--> VPN2 <---1.1.1.2---> "internet"
> проблема с пробросом соединения на точке VPN1, уже выкурил столько манов, что
> дым из ушей идет, в частности пытался использовать следующие настройки, найденые
> на одном из форумов:
> echo '150 vpn.out' >> /etc/iproute2/rt_tables
> ip rule add fwmark 1 table vpn.out
> iptables -t mangle -A PREROUTING -s 10.10.10.0/24 -i tun0 -j MARK --set-mark
> 1
> iptables -t nat -A POSTROUTING -m mark --mark 1 -s 10.10.0.0/24 -o
> tun1 -j MASQUERADE
почему -s 10.10.0.0/24? оставьте только
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
что в таблице фильтров?
и смотрите tcpdump на интерфейсах tun
> ip route add default dev tun1 table vpn.out
> Эффекта получил 0 =)
> при стандартной настройке маскарадинга типа
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> все работает, но соответственно только через 1 точку.
> На второй точке тоже все норм настроено.
> Если что, камнями не бросать, поиском пользовался, по здешним местам ничего не
> нашел, подскажите пожалуйста!!!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Маршрутизация в цепочке VPN" +/–

Сообщение от Kiot (ok) on 12-Июл-11, 12:00

Собственно - таблица фаервола.
*filter
:INPUT ACCEPT [49401:7168415]
:FORWARD ACCEPT [126868:104348010]
:OUTPUT ACCEPT [81743:105856165]
COMMIT
*mangle
:PREROUTING ACCEPT [176309:111525732]
:INPUT ACCEPT [49401:7168415]
:FORWARD ACCEPT [126868:104348010]
:OUTPUT ACCEPT [81747:105856799]
:POSTROUTING ACCEPT [208615:210204809]
-A PREROUTING -s 10.10.10.0/255.255.255.0 -i tun0 -j MARK --set-mark 0x1
COMMIT
*nat
:PREROUTING ACCEPT [1526:95289]
:POSTROUTING ACCEPT [113:8660]
:OUTPUT ACCEPT [51:3387]
-A POSTROUTING -o tun1 -m mark --mark 0x1 -j MASQUERADE
COMMIT

Поясню на всякий случай. tun0 интерфейс серверный, на который коннектятся клиенты, tun1 - клиентский, через него идет связь со 2 сервером.
ip адреса на интерфейсах:
tun0 10.10.10.*
tun1 10.10.0.*

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Маршрутизация в цепочке VPN" +/–

Сообщение от Kiot (ok) on 12-Июл-11, 12:00

Ну вот при такой таблице не работает. =/

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Маршрутизация в цепочке VPN" +/–

Сообщение от reader (ok) on 12-Июл-11, 15:19

> Ну вот при такой таблице не работает. =/
запустите tcpdump на tun0 и на tun1 и обратитесь с клиента, если увидите что клиентские запросы пошли через tun1 значит ваши правила маркировки и маршрутизации работают

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Маршрутизация в цепочке VPN"	+/–
Сообщение от Kiot (ok) on 12-Июл-11, 00:00
И никто не подскажет?! =(
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Маршрутизация в цепочке VPN"	+/–
Сообщение от reader (ok) on 12-Июл-11, 10:59
>[оверквотинг удален] > users <--10.10.10.0--> VPN1 <--10.10.0.0--> VPN2 <---1.1.1.2---> "internet" > проблема с пробросом соединения на точке VPN1, уже выкурил столько манов, что > дым из ушей идет, в частности пытался использовать следующие настройки, найденые > на одном из форумов: > echo '150 vpn.out' >> /etc/iproute2/rt_tables > ip rule add fwmark 1 table vpn.out > iptables -t mangle -A PREROUTING -s 10.10.10.0/24 -i tun0 -j MARK --set-mark > 1 > iptables -t nat -A POSTROUTING -m mark --mark 1 -s 10.10.0.0/24 -o > tun1 -j MASQUERADE почему -s 10.10.0.0/24? оставьте только iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE что в таблице фильтров? и смотрите tcpdump на интерфейсах tun > ip route add default dev tun1 table vpn.out > Эффекта получил 0 =) > при стандартной настройке маскарадинга типа > iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE > все работает, но соответственно только через 1 точку. > На второй точке тоже все норм настроено. > Если что, камнями не бросать, поиском пользовался, по здешним местам ничего не > нашел, подскажите пожалуйста!!!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Маршрутизация в цепочке VPN"	+/–
	Сообщение от Kiot (ok) on 12-Июл-11, 12:00
	Собственно - таблица фаервола. filter :INPUT ACCEPT [49401:7168415] :FORWARD ACCEPT [126868:104348010] :OUTPUT ACCEPT [81743:105856165] COMMIT mangle :PREROUTING ACCEPT [176309:111525732] :INPUT ACCEPT [49401:7168415] :FORWARD ACCEPT [126868:104348010] :OUTPUT ACCEPT [81747:105856799] :POSTROUTING ACCEPT [208615:210204809] -A PREROUTING -s 10.10.10.0/255.255.255.0 -i tun0 -j MARK --set-mark 0x1 COMMIT nat :PREROUTING ACCEPT [1526:95289] :POSTROUTING ACCEPT [113:8660] :OUTPUT ACCEPT [51:3387] -A POSTROUTING -o tun1 -m mark --mark 0x1 -j MASQUERADE COMMIT Поясню на всякий случай. tun0 интерфейс серверный, на который коннектятся клиенты, tun1 - клиентский, через него идет связь со 2 сервером. ip адреса на интерфейсах: tun0 10.10.10. tun1 10.10.0.*
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Маршрутизация в цепочке VPN"	+/–
	Сообщение от Kiot (ok) on 12-Июл-11, 12:00
	Ну вот при такой таблице не работает. =/
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Маршрутизация в цепочке VPN"	+/–
	Сообщение от reader (ok) on 12-Июл-11, 15:19
	> Ну вот при такой таблице не работает. =/ запустите tcpdump на tun0 и на tun1 и обратитесь с клиента, если увидите что клиентские запросы пошли через tun1 значит ваши правила маркировки и маршрутизации работают
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору