forum.lissyara.su

здравствуйте
Забрел в тупик с iptables и nat, дакументации перечитал массу, может от этого совсем запутался
Суть в следующем
есть 2 VPN сервера
на первый ( server1 ), коннектимся клиентом, в туннеле поднимается сеть 10.0.0.0, серверный конец туннеля получает 10.0.0.1, клмент 10.0.0.2
добавляем правило
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to ВНЕШНИЙ_ИП
попадаем в инет
теперь поднимаем второй туннель, между VPN серверами, сеть 10.10.0.0, ( сетевуха одна, просто на других портах )
конец второго туннеля на server1 получает 10.10.0.1 на втором сервере 10.10.0.2
собственно затык как завернуть трафик из первого туннеля, во второй, а там на выход
все пытался сделать через SNAT, DNAT, вероятно этого не достаточно ?
извиняюсь если путано, на всякий случай схемку набросал заранее спасибо

Тут в основном только злые БСДшники сидят - вряд ли уто с иптаблес поможет...

terminus да вот я как-бы тоже в основном с фрей работаю, а тут линоксов нападало)

На первый взгляд Вы вполне можете обойтись простым роутингом:
клиент - дефолтный 10.0.0.2
VPN1 - дефолтный 10.10.0.2
VPN2 -дефолтный 192.10.10.10
Что бы пакуеты ходили и в обратную сторону на VPN2 прописываете роутинг до внутренних сетей через10.10.0.2
SNAT нужен только на VPN2.

И да, что бы и Вам и другим была понятна схема маршрутизации прведите вывод ip route со всех участников цепи.

Давно не настраивал нат в ипитаблесе, но когда-то оно работало в такой конфигурации: ppp+ - пптпшный интерфейс через который был дефолт в тырнет ("+" потребовался из периодических глюков сети и вместо ппп0 вылезало ппп1 и т д )
eth0 - езернет в сторону провайдера (часть ресурсов была доступна через локальную сеть в обход ВПНа)
натилось все что вылетало через эти интерфейсы.

еще есть в rc.local такая запись: я не помню откуда я это вычитал, но оно работало, потом оно было заменено на запись в sysctl.conf
Все остальное живущее в вашей части надо перенаправлять через route add -net блаблабла. нужно чтоб все знали где живут все остальные.