welinux.ru/Есть вопрос! — [РЕШЕНО] по iptables

16.09.10 15:02 islava

Есть вопрос! — [РЕШЕНО] по iptables

Всем привет.
Есть vpn - tun0, интернет - ppp0 и открытая точка доступа wifi - wlan0
если сделаю iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE то инет будет у всех пользователей вайфая.

Как сделать чтобы пользователи, подключившиеся к впн серверу в вайфай сетке сидели за натом?
Использую ubuntu 10.04

Похожие +1–

NickNill 16.09.10 16:15 # +2–

iptables -t nat -A POSTROUTNG -s подсеть_впн -o ppp0 -j MASQUERADE вроде так

: xT 16.09.10 19:04 # ↑ +2–

POSTROUTING

islava 16.09.10 17:54 # +-1–

iptables: No chain/target/match by that name.

xT 16.09.10 18:57 # ↑ +1–

йопт, что пишешь то? показывай

islava 16.09.10 19:39 # ↑ +0–

что пишу

1
2
3
4 iptables -t nat -A POSTROUTNG -s 10.10.10.1/255 -o ppp0 -j MASQUERADE 46 iptables -t nat -A POSTROUTNG -s 10.10.10.1/20 -o ppp0 -j MASQUERADE 47 iptables -t nat -A POSTROUTNG -s 10.10.10.1/255.255.255.255 -o ppp0 -j MASQUERADE

ifconfig

ppp0 Link encap:Протокол PPP (Point-to-Point Protocol)

                              inet addr:109.169.**3.29 P-t-P:88.200.**2.254 Mask:255.255.255.255

                              UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

                              RX packets:2715 errors:0 dropped:0 overruns:0 frame:0

                              TX packets:1499 errors:0 dropped:0 overruns:0 carrier:0

                              collisions:0 txqueuelen:3

                              RX bytes:3433304 (3.4 MB) TX bytes:122041 (122.0 KB)

                              

                              tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

                              inet addr:10.10.10.1 P-t-P:10.10.10.2 Mask:255.255.255.255

                              UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

                              RX packets:0 errors:0 dropped:0 overruns:0 frame:0

                              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

                              collisions:0 txqueuelen:100

                              RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

                              

                              wlan0 Link encap:Ethernet HWaddr 00:26:5e:35:9f:17

                              inet addr:10.42.43.1 Bcast:10.42.43.255 Mask:255.255.255.0

                              inet6 addr: fe80::226:5eff:fe35:9f17/64 Scope:Link

                              UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

                              RX packets:2322 errors:0 dropped:0 overruns:0 frame:0

                              TX packets:2258 errors:0 dropped:0 overruns:0 carrier:0

                              collisions:0 txqueuelen:1000

                              RX bytes:399778 (399.7 KB) TX bytes:1442671 (1.4 MB)

: xT 16.09.10 19:40 # ↑ +1–

смотри мой коммент выше, ибо опечатка в построутинге

islava 16.09.10 19:43 # ↑ +0–

пофиксил на iptables -t nat -A POSTROUTING -s 10.10.10.6/255.255.255.255 -o ppp0 -j MASQUERADE
проходит успешно, клиент vpn интернетов не получает
10.10.10.6 - выданный ip для vpn

: islava 16.09.10 19:47 # ↑ +0–

вайфай настроен по этой статье http://habrahabr.ru/blogs/linux/88281/ , сделано всё, за исключением команды ната

xT 16.09.10 19:51 # ↑ +0–

ip route show
на клиенте покажи

: islava 16.09.10 20:01 # ↑ +0–

клиент под виндами, поэтому могу показать только netstat -rn

Microsoft Windows [Version 6.1.7600]

(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\sl>netstat -rn

===========================================================================

Список интерфейсов

27...00 ff 4d aa 34 e0 ......TAP-Win32 Adapter V9

11...00 1e 68 4f cf ed ......Сетевой контроллер NVIDIA nForce

10...00 17 c4 24 34 e1 ......Atheros AR5007EG Wireless Network Adapter

1...........................Software Loopback Interface 1

24...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP

13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2

25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3

26...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4

===========================================================================

IPv4 таблица маршрута

===========================================================================

Активные маршруты:

Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика

0.0.0.0 0.0.0.0 10.42.43.1 10.42.43.3 25

10.10.10.0 255.255.255.0 10.10.10.5 169.254.37.199 30

10.42.43.0 255.255.255.0 On-link 10.42.43.3 281

10.42.43.3 255.255.255.255 On-link 10.42.43.3 281

10.42.43.255 255.255.255.255 On-link 10.42.43.3 281

127.0.0.0 255.0.0.0 On-link 127.0.0.1 306

127.0.0.1 255.255.255.255 On-link 127.0.0.1 306

127.255.255.255 255.255.255.255 On-link 127.0.0.1 306

169.254.0.0 255.255.0.0 On-link 169.254.37.199 286

169.254.37.199 255.255.255.255 On-link 169.254.37.199 286

169.254.255.255 255.255.255.255 On-link 169.254.37.199 286

224.0.0.0 240.0.0.0 On-link 127.0.0.1 306

224.0.0.0 240.0.0.0 On-link 10.42.43.3 281

224.0.0.0 240.0.0.0 On-link 169.254.37.199 286

255.255.255.255 255.255.255.255 On-link 127.0.0.1 306

255.255.255.255 255.255.255.255 On-link 10.42.43.3 281

255.255.255.255 255.255.255.255 On-link 169.254.37.199 286

===========================================================================

Постоянные маршруты:

Отсутствует

IPv6 таблица маршрута

===========================================================================

Активные маршруты:

Метрика Сетевой адрес Шлюз

1 306 ::1/128 On-link

10 281 fe80::/64 On-link

27 286 fe80::/64 On-link

10 281 fe80::448b:435a:d33:3820/128

On-link

27 286 fe80::fddc:d18b:cd99:25c7/128

On-link

1 306 ff00::/8 On-link

10 281 ff00::/8 On-link

27 286 ff00::/8 On-link

===========================================================================

Постоянные маршруты:

Отсутствует

: islava 16.09.10 20:05 # ↑ +0–

вот скриншотом для удобства http://rghost.ru/2643901

: Zend 16.09.10 18:59 # +0–

iptables: Нет цепочки/действия/критерия с таким именем

: islava 16.09.10 21:13 # +0–

openvpn настраивал отсюда: http://6uestsblog.blogspot.com/2008/07/openvpn-ubuntu.html
может надо поменять роуты в конфиге сервера или клиента?

albibek 16.09.10 21:34 # +0–

Для отладки пингуйте разные хосты и смотрите по

iptables -L -v -n -t nat

количество пакетов - там будет видно в какую из цепочек уходят пакеты.

Форвардинг включен (/proc/sys/net/ipv4/ip_forward)?

Покажите сюда все таблицы iptables и таблицу маршрутизации:

1
2
3
4 iptables -L -v -n iptables -L -v -n -t nat iptables -L -v -n -t mangle netstat -nr

: islava 16.09.10 22:25 # +0–

форвардинг включен

iptables -L -v -n

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

iptables -L -v -n -t nat

Chain PREROUTING (policy ACCEPT 3458 packets, 214K bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 166 packets, 9950 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ppp0 10.10.10.6 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 166 packets, 9950 bytes)
pkts bytes target prot opt in out source destination

iptables -L -v -n -t mangle

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
root@nemessis:/home/sig#

заметил вот ошибки в логе, и думаю всё таки надо как то править роуты опенвпна
http://rghost.ru/2645486

Thu Sep 16 21:53:06 2010 us=446000 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.10.10.6/255.255.255.252 on interface {4DAA34E0-68E2-46E4-9133-3E6FD39BA753} [DHCP-serv: 10.10.10.5, lease-time: 31536000]

Thu Sep 16 21:53:06 2010 us=446000 Successful ARP Flush on interface [27] {4DAA34E0-68E2-46E4-9133-3E6FD39BA753}

Thu Sep 16 21:53:11 2010 us=999000 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up

Thu Sep 16 21:53:12 2010 us=15000 C:\WINDOWS\system32\route.exe ADD 192.168.7.0 MASK 255.255.0.0 10.10.10.5

Thu Sep 16 21:53:12 2010 us=15000 Warning: address 192.168.7.0 is not a network address in relation to netmask 255.255.0.0

Thu Sep 16 21:53:12 2010 us=30000 ROUTE: route addition failed using CreateIpForwardEntry: Параметр задан неверно. [status=87 if_index=27]

Thu Sep 16 21:53:12 2010 us=30000 Route addition via IPAPI failed [adaptive]

Thu Sep 16 21:53:12 2010 us=30000 Route addition fallback to route.exe

‘Ў®© ¤®Ў ў«ҐЁп ¬ аиагв : Џ а ¬Ґва § ¤ ҐўҐа®.

Thu Sep 16 21:53:12 2010 us=77000 C:\WINDOWS\system32\route.exe ADD 10.10.10.0 MASK 255.255.255.0 10.10.10.5

Thu Sep 16 21:53:12 2010 us=77000 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4

Thu Sep 16 21:53:12 2010 us=77000 Route addition via IPAPI succeeded [adaptive]

Thu Sep 16 21:53:12 2010 us=77000 Initialization Sequence Completed

: albibek 16.09.10 22:45 # +0–

Пингуется ли 10.10.10.1 и 10.10.10.2 с клиента. Пингуется ли адрес ppp0-интерфейса(109.169.четотам) с клиента?

Покажите таблицы маршрутизации на сервере и на клиенте(при включённом vpn есессно).

: islava 16.09.10 22:47 # +0–

пингуется и коннектится впн на 10.10.10.1
ppp0 тоже пингуется

albibek 16.09.10 22:50 # +0–

На клиенте шлюзом по-умолчанию стоит сеть WiFi, т.е. все пакеты, для которых нет записи в таблице маршрутизации, идут туда. Там никакого vpn естественно нет.
Попробуйте на клиенте

1
2
3
4 route delete 0.0.0.0 mask 0.0.0.0 10.42.43.1 route add 0.0.0.0 mask 0.0.0.0 10.10.10.1

: islava 16.09.10 22:56 # ↑ +0–

еффект 0

: islava 16.09.10 22:51 # +0–

сервер

root@nemessis:~# ip route show
10.10.10.2 dev tun0 proto kernel scope link src 10.10.10.1
88.200.222.253 dev ppp0 proto kernel scope link src 109.169.170.101
10.42.43.0/24 dev wlan0 proto kernel scope link src 10.42.43.1 metric 2
192.168.1.0/24 via 10.10.10.2 dev tun0
10.10.10.0/24 via 10.10.10.2 dev tun0
169.254.0.0/16 dev ppp0 scope link metric 1000
default via 88.200.222.253 dev ppp0 proto static

клиент

islava 16.09.10 22:58 # +0–

а может применить iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
и как-то запретить хождение пакетов на wlan0? по идее тогда они будут ходить на все остальные интерфейсы

albibek 16.09.10 23:15 # ↑ +0–

При запрете пакеты просто удаляются, а не перенаправляются. Интерфейс для пакетов определяется по адресу назначения и таблице маршрутизации, поэтому надо сначала докурить маршруты.
Сделайте traceroute на интернетовский IP шлюза и на любой адрес в интернете(например, welinux :)) с клиента, чтобы понять, каким путём идут пакеты и где "застревают". Плохо, если с клиента пакеты идут не через vpn(кстати, они тоже по идее должны)
Также неплохо бы поглядеть tcpdump-ом, что происходит на шлюзе в это время - какие вообще пакеты приходят, куда уходят и уходят ли.
Покажите новую таблицу на клиенте после изменения, что я предложил выше.

: islava 16.09.10 23:25 # ↑ +0–

днс не резолвится

: islava 16.09.10 23:26 # ↑ +0–

т.е. недоступен провайдерский dns

: albibek 16.09.10 23:16 # ↑ +0–

Попробуйте ещё так:
route delete 0.0.0.0 mask 0.0.0.0 10.10.10.1
route add 0.0.0.0 mask 0.0.0.0 10.10.10.2

: islava 16.09.10 23:30 # +0–

все решилось доабавлением push "redirect-gateway def1 bypass-dhcp" в /etc/openvpn/server.conf

—

nett00n — « Есть проблема! / Ubuntu 10.10 проблема с переключением раскладки.» DOOMer — « Переводы / Subversion vs. Git: выбираем правильную систему контроля версий с открытым исходным кодом.» xT — « Есть проблема! / Автоматически завершается uTorrent» ( 2 ) andreas — « Есть проблема! / Нужна помощь в выборе ПО для обработки данных физических экспериментов» d_shev — « Есть проблема! / Ubuntu 10.10 проблема с переключением раскладки.» ( 2 ) K-9 — « Есть проблема! / Автоматически завершается uTorrent» Sk8er — « Есть проблема! / Автоматически завершается uTorrent» Sk8er — « Есть проблема! / Автоматически завершается uTorrent» Sk8er — « Есть вопрос! / USB и Wi-FI» xT — « welinux / С 20 сентября начнётся тематическая неделя "как это работает"» ( 3 ) h0rr0rr_drag0n — « welinux / С 20 сентября начнётся тематическая неделя "как это работает"» ( 1 ) xT — « Есть проблема! / Автоматически завершается uTorrent» h0rr0rr_drag0n — « welinux / Тёмный welinux.ru» ( 2 ) alff31 — « Есть проблема! / Нужна помощь в выборе ПО для обработки данных физических экспериментов» magist3r — « Есть вопрос! / USB и Wi-FI» Username — « Talks! / С Днем Рождения Linux!» ( 2 )
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 133) Tips & tricks (30) Есть вопрос! (24) How-to`s (22) Archlinux (22) Vim (21) Мой рабочий стол. (18) Скрипты (16) Linux Games (15) KDE (15) Debian (14)
Элита (все 2604 из 205 городов) Username (247.5) muhas (246.6) Aesdana (131.1) Shtsh (123.6) h0rr0rr_drag0n (120.25) cppmm (117.8) ZogG (112) digiwhite (101) Minoru (98.45) ner_uto (92.8)

В сети: goblinyara, SDSWanderer

Новенькие: pozadi, fmstereo, Kamikadze, Anrock, kain