Не работает DNAT через vpn

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
pochemuchka
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-11-09 16:30:40

Не работает DNAT через vpn

Непрочитанное сообщение pochemuchka » 2010-11-09 17:05:33

Комп подключен к openVPN

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 00:1F:C6:DD:4F:27  
          inet addr:192.168.5.2  Bcast:192.168.5.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3308350 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2460042 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3412352881 (3254.2 Mb)  TX bytes:1362707087 (1299.5 Mb)
          Interrupt:17 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.0.0.6  P-t-P:10.0.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:15978 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13949 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:15459188 (14.7 Mb)  TX bytes:3099651 (2.9 Mb)

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.5        *               255.255.255.255 UH    0      0        0 tun0
192.168.5.0     *               255.255.255.0   U     0      0        0 eth0
192.168.4.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.3.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
10.0.0.0        10.0.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         192.168.5.1     0.0.0.0         UG    0      0        0 eth0
Запускаю скрипт:

Код: Выделить всё

/sbin/depmod -a

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_sip
/sbin/modprobe ip_nat_sip

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -t nat -A PREROUTING -p tcp -d 192.168.5.2 --dport 80 -j DNAT --to-destination 192.168.1.4
При открытии 192.168.5.2:80 - timeout, если убрать правили DNAT - сервил не доступен. Ставлю 192.168.5.2 основным шлюзом - 10.0.0.6 пингуется 10.0.0.5, 10.0.0.1 192.168.1.4 нет. С компа на котором vpn все работает. На сервере все цепочки делаю ACCEPT. iptraf не показывает трафик внутри tun0.
Подскажите плз, где может быть касяк, у меня идеи закончились.
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Не работает DNAT через vpn

Непрочитанное сообщение Burner » 2010-11-09 17:14:01

кто тут комп, сервер и шлюз?
Вернуться к началу
pochemuchka
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-11-09 16:30:40

Re: Не работает DNAT через vpn

Непрочитанное сообщение pochemuchka » 2010-11-09 17:55:54

сервер1 на нем openVPN - сервер. 10.0.0.1 (виртуальный) 192.168.1.1 (серый адрес)
к нему подключается сервер2. 10.0.0.6 (виртуальный) 192.168.5.2 (серый). Все листинги приведены для него. С сервер2 192.168.1.1 - доступен
комп 192.168.5.3 в одной подсети с сервер2, сервер2 - основной шлюз. С него пинг на 10.0.0.6 идет на 10.0.0.1, 192.168.1.1 - нет.
Вернуться к началу
Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Не работает DNAT через vpn

Непрочитанное сообщение Burner » 2010-11-09 18:23:37

все равно все очень сумбурно, но из того, что мне удалось понять - скорей всего, на первом сервере маршруты неправильные
Вернуться к началу
pochemuchka
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-11-09 16:30:40

Re: Не работает DNAT через vpn

Непрочитанное сообщение pochemuchka » 2010-11-10 21:15:47

Вроде локализовал проблему. Но все равно не пойму в чем дело.
2 сервера соединены с помощью openVPN.
Сервер1

Код: Выделить всё

eth1      Link encap:Ethernet  HWaddr 00:80:48:56:FC:FB  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::280:48ff:fe56:fcfb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:83501583 errors:0 dropped:0 overruns:0 frame:0
          TX packets:86125286 errors:0 dropped:0 overruns:1 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3762264829 (3.5 GiB)  TX bytes:604377248 (576.3 MiB)
          Interrupt:209 Base address:0x2800 

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.0.0.1  P-t-P:10.0.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:5269814 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7806543 errors:0 dropped:158 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:490330490 (467.6 MiB)  TX bytes:2479003619 (2.3 GiB)

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.2        *               255.255.255.255 UH    0      0        0 tun0
192.168.5.0     10.0.0.2        255.255.255.0   UG    0      0        0 tun0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
Сервер2

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 00:1F:C6:DD:4F:27  
          inet addr:192.168.5.2  Bcast:192.168.5.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5080309 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4303116 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3916615555 (3735.1 Mb)  TX bytes:1340398416 (1278.3 Mb)
          Interrupt:17 

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.0.0.6  P-t-P:10.0.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:3214 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3967 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:1516757 (1.4 Mb)  TX bytes:441239 (430.8 Kb)

Код: Выделить всё

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.5        *               255.255.255.255 UH    0      0        0 tun0
192.168.5.0     *               255.255.255.0   U     0      0        0 eth0
10.0.0.0        10.0.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.1.0     10.0.0.5        255.255.255.0   UG    0      0        0 tun0
default         192.168.5.1     0.0.0.0         UG    0      0        0 eth0
В фаерволе все правила удалены и цепочки ACCEPT.
С сревере2 - ping 192.168.1.1 - идет
С сревере1 - ping 192.168.5.2 - не идет
Пересылка на сервере 2 включена, подключал вторую сетевуху - все работает.
Вернуться к началу
Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Не работает DNAT через vpn

Непрочитанное сообщение Burner » 2010-11-10 23:18:41

а конфиги openvpn?
Вернуться к началу
pochemuchka
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-11-09 16:30:40

Re: Не работает DNAT через vpn

Непрочитанное сообщение pochemuchka » 2010-11-12 15:23:04

Сервер1

Код: Выделить всё

dev               tun0                                                                                                                                       
local            *.*.*.*                                                                                                                              
port              1194                                                                                                                                       
proto             udp                                                                                                                                        
server            10.0.0.0 255.255.255.0                                                                                                                     
push              "route 10.0.0.0 255.255.255.0"                                                                                                             
route             192.168.5.0 255.255.255.0                                                                                                                  
client-config-dir ccd                                                                                                                                        
client-to-client                                                                                                                                             
tls-server                                                                                                                                                   
dh                /etc/openvpn/dh2048.pem                                                                                                                    
ca                /etc/openvpn/CA_cert.pem                                                                                                                   
cert              /etc/openvpn/certs/server.pem                                                                                                              
key               /etc/openvpn/keys/server.pem                                                                                                               
crl-verify        /etc/openvpn/crl/crl.pem                                                                                                                   
tls-auth          /etc/openvpn/ta.key 0                                                                                                                      
comp-lzo                                                                                                                                                     
keepalive         10 120                                                                                                                                     
tun-mtu           1500                                                                                                                                       
mssfix            1450                                                                                                                                       
persist-key                                                                                                                                                  
persist-tun                                                                                                                                                  
user              openvpn                                                                                                                                    
group             openvpn                                                                                                                                    
verb              3                                                                                                                                          
log /var/log/vpn.log
openvpn/ccd/konstantin

Код: Выделить всё

push "route 192.168.1.0 255.255.255.0"
Сервер2

Код: Выделить всё

client
dev          tun
proto        udp
remote       *.*.*.*
port         1194
tls-client   konstantin
tls-remote   ns2.alfey.net
ca           /etc/openvpn/CA_cert.pem
cert         /etc/openvpn/Ckonstantin.pem
key          /etc/openvpn/Kkonstantin.pem
tls-auth     /etc/openvpn/ta.key 1
ns-cert-type server
comp-lzo
tun-mtu      1500
mssfix       1450
verb         3
Вернуться к началу
Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Не работает DNAT через vpn

Непрочитанное сообщение Burner » 2010-11-12 17:42:30

iroute не хватает, я думаю
Вернуться к началу
pochemuchka
проходил мимо
Сообщения: 9
Зарегистрирован: 2010-11-09 16:30:40

Re: Не работает DNAT через vpn

Непрочитанное сообщение pochemuchka » 2010-11-12 19:21:48

Спасибо! Помогло.
Вернуться к началу