здравствуйте
Забрел в тупик с iptables и nat, дакументации перечитал массу, может от этого совсем запутался
Суть в следующем
есть 2 VPN сервера
на первый ( server1 ), коннектимся клиентом, в туннеле поднимается сеть 10.0.0.0, серверный конец туннеля получает 10.0.0.1, клмент 10.0.0.2
добавляем правило
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to ВНЕШНИЙ_ИП
попадаем в инет
теперь поднимаем второй туннель, между VPN серверами, сеть 10.10.0.0, ( сетевуха одна, просто на других портах )
конец второго туннеля на server1 получает 10.10.0.1 на втором сервере 10.10.0.2
собственно затык как завернуть трафик из первого туннеля, во второй, а там на выход
все пытался сделать через SNAT, DNAT, вероятно этого не достаточно ?
извиняюсь если путано, на всякий случай схемку набросал
заранее спасибо
iptables nat между сетями
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: iptables nat между сетями
Тут в основном только злые БСДшники сидят - вряд ли уто с иптаблес поможет...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- рядовой
- Сообщения: 15
- Зарегистрирован: 2010-01-28 18:28:34
Re: iptables nat между сетями
terminus да вот я как-бы тоже в основном с фрей работаю, а тут линоксов нападало)
-
- проходил мимо
Re: iptables nat между сетями
На первый взгляд Вы вполне можете обойтись простым роутингом:
клиент - дефолтный 10.0.0.2
VPN1 - дефолтный 10.10.0.2
VPN2 -дефолтный 192.10.10.10
Что бы пакуеты ходили и в обратную сторону на VPN2 прописываете роутинг до внутренних сетей через10.10.0.2
SNAT нужен только на VPN2.
клиент - дефолтный 10.0.0.2
VPN1 - дефолтный 10.10.0.2
VPN2 -дефолтный 192.10.10.10
Что бы пакуеты ходили и в обратную сторону на VPN2 прописываете роутинг до внутренних сетей через10.10.0.2
SNAT нужен только на VPN2.
-
- проходил мимо
Re: iptables nat между сетями
И да, что бы и Вам и другим была понятна схема маршрутизации прведите вывод ip route со всех участников цепи.
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: iptables nat между сетями
Давно не настраивал нат в ипитаблесе, но когда-то оно работало в такой конфигурации:
ppp+ - пптпшный интерфейс через который был дефолт в тырнет ("+" потребовался из периодических глюков сети и вместо ппп0 вылезало ппп1 и т д )
eth0 - езернет в сторону провайдера (часть ресурсов была доступна через локальную сеть в обход ВПНа)
натилось все что вылетало через эти интерфейсы.
еще есть в rc.local такая запись:
я не помню откуда я это вычитал, но оно работало, потом оно было заменено на запись в sysctl.conf
Все остальное живущее в вашей части надо перенаправлять через route add -net блаблабла. нужно чтоб все знали где живут все остальные.
Код: Выделить всё
# Generated by iptables-save v1.2.9 on Fri Dec 16 15:27:42 2005
*nat
:PREROUTING ACCEPT [69452822:8584988835]
:POSTROUTING ACCEPT [605487:1348561602]
:OUTPUT ACCEPT [3800118:486815822]
[2604486:148781072] -A POSTROUTING -o eth0 -j SNAT --to-source 10.1.21.175
[737133:42699454] -A POSTROUTING -o ppp+ -j SNAT --to-source 212.1.225.235
COMMIT
# Completed on Fri Dec 16 15:27:42 2005
eth0 - езернет в сторону провайдера (часть ресурсов была доступна через локальную сеть в обход ВПНа)
натилось все что вылетало через эти интерфейсы.
еще есть в rc.local такая запись:
Код: Выделить всё
# Enable IP_Forwarding (required for NAT)
#echo 1 > /proc/sys/net/ipv4/ip_forward
Код: Выделить всё
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
Все остальное живущее в вашей части надо перенаправлять через route add -net блаблабла. нужно чтоб все знали где живут все остальные.
Не сломалось - не чини.