Увлекся начальник linux mint ом, и говорит поедем в одну организацию поставишь минт с впн и что бы мог внутреннюю сеть видеть, минт с впн поставлю без проблем, но с iptables ом у меня проблемка, что то пробовать и тестить времени не будет, надо ввести работающие правила или настроить минтовский фаер сразу и без ошибок. Почитал статьи, но понял может заработать может и нет, охото увидеть 100% рабочий вариант настройки фаервола минта или iptables, надо что бы сеть vpn видела сеть организации
вот здесь _ttp://www.ylsoftware.com/news/407 прочел что если прописать # Разрешаем протокол GRE для всех; iptables -A INPUT -p gre -j ACCEPT # Разрешаем соединение с PPTP-сервером для всех; iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT то сеть vpn будет видеть локалку хотя правил для этого он не писал. и у него они были по умолчанию, а если их нет?
Что есть vpn ? PS: Роутеры и сети нужно называть нормальными именами, чтобы всем было понятно. Для объединения двух сетей не нужен фаервол! Если есть желание что-то фильтровать - желание в студию, плиз
имел ввиду впн-клиенты, eth1-интернет eth0-локалка ppp0 -pptp интерфейс прописал маскарадинг для локальной сети, теперь пользователи локальной сети выходят в интернет, айпишники впн пользователей в одной подсети с локальной, но впн пользователь не видит локалку, если пропишу iptables --table nat -A POSTROUTING -o eth0 -j MASQUERADE то думаю возникнет глюк. как правильно правило прописать? подскажите пожалуйста З.Ы. по впн подключаются с интернета
Из выше изложенного понял, что нужно связать две сети через тоннель. Исправьте, если не так, а если так, поехали ... Имеем: Офис: А Локальная сеть в офисе А: 10.0.0.0/24 Маршрутизаторв в офисе А: GW-A 10.0.0.1/24 и xxx.xxx.xxx.xxx - выход в глобалку Офис: B Локальная сеть в офисе B: 192.168.0.0/24 Маршрутизаторв в офисе B: GW-B 192.168.1.1/24 и yyy.yyy.yyy.yyy - выход в глобалку VPN-сервер можешь вешать на любой роутер xxx.xxx.xxx.xxx:1723 или yyy.yyy.yyy.yyy:1723, как удобней. В конфигах vpn-сервера указываешь пул из 2 IP, например, 172.16.0.0/30 Пусть на роутере A будет 172.16.0.1, а на B соответственно 172.16.0.2. Все, установили соединение и можно с любого роутера попинать его соседа. Далее, прописываем маршруты: На роутере А: route add 192.168.0.1/24 172.16.0.2 - этой командой мы говорим роутеру А, что все пакеты, которые адресуются в офис B (192.168.0.1/24) дожны пройти по тоннелю к роутеру B (172.16.0.2) На роутере B: route add 10.0.0.0/24 172.16.0.1 - соответственно для соседа ... Далее включаем форвард: для разных систем своя команда echo 1 > /proc/sys/net/ipv4/ip_forward (Linux) sysctl -w net.inet.ip.forwarding=1 (FreeBSD) И все, этого достаточно, чтобы сети видели друг друга. PS: Примеры команды route актуальны для FreeBSD, для ругих систем man route
спасибо большое lo0, мне стыдно стало что не подробно(не правильно) объяснил. 1 комп-linux mint, одновременно является шлюзом в инет и впн(pptpd) сервером, что бы он инет раздавал в локалку офиса я прописал /sbin/iptables -P FORWARD ACCEPT /sbin/iptables --table nat -A POSTROUTING -o eth1 -j MASQUERADE ======================================================== но, подключаясь(vpn-pptp) из дома или с другого места, к этому компу, я вижу только этот линукс, сеть офиса не видна, роуты не помогают. тут какое то правило нат надо прописать, что бы и люди в офисе могли одновременно инет юзать и я из дома мог сеть офиса видеть
Во, уже лучше. Имеем офис и одного клиента. Подключившись к серверу, твоя машинка ничего не знает об офисной сетке, поэтому: а) Прописываем маршруты вручную на своей машинке б) настраиваем pptpd так, чтобы он "прописывал" у тебя статический маршрут на офисную сетку. Далее для теста тебе нужно использовать тока две утилиты: ping и tcpdump Запускаешь tcpdump на pptpd на тоннельном интерфейсе и начинаешь пинговать с домашней машинки роутер. Если пинг идет - связь ОК Пингуем с домашней машинки офисную сетку, если пусто - зн. на твоей машинке не прописаны маршруты к офисной сети или прописаны неверно. Если видно тока echo request, значит на товей машинке маршрут указан верно. Далее, не останавливая пинг на офисную сеть запускаем tcpdump на pptpd на внутрен. интерфесе, т.е. на том, который смотрит в офисную сеть. Если там ничего нет от тебя, то не включен форвард (echo 1 > /proc/sys/net/ipv4/ip_forward (Linux)) , а если имеется echo request с твоей машинки, значит на офисной машинке отключен icmp/фаер блочит. NAT не трогаем, можно без него! PS: Давай посмотрим, что tcpdump скажет, без него туго Учиться никогда не поздно (с)
