Роутинг из сети OpenVPN'а в интернет [SOLVED]
falrus 28 марта, 2010 - 13:48
Добрый день
Есть сервер, на котором поднят OpenVPN (интерфейс tun0, адреса в VPN сети 172.17.х.х, адрес сервера в VPN 172.17.0.1), так же у сервера есть доступ в интернет (интерфейс ppp0).
Разрешаем серверу пересылать любой трафик:
server ~ # /sbin/iptables -t filter -F FORWARD server ~ # /sbin/iptables -t filter -P FORWARD ACCEPT server ~ # /sbin/iptables -t nat -F POSTROUTING server ~ # /sbin/iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE # меняем обратный адрес для ppp0 server ~ # /sbin/iptables -t nat -A POSTROUTING -j ACCEPT
Есть клиент, который подключен по OpenVPN к серверу, и имеет IP 172.17.0.6 (P-t-P:172.17.0.5)
client # route add -net 188.40.74.0 netmask 255.255.255.0 gw 172.17.0.5 # 188.40.74.x -- адреса 2ip.ru
Пробуем подключение, пинги идут:
client # ping 2ip.ru PING 2ip.ru (188.40.74.10) 56(84) bytes of data. 64 bytes from 2ip.ru (188.40.74.10): icmp_seq=1 ttl=55 time=71.0 ms 64 bytes from 2ip.ru (188.40.74.10): icmp_seq=2 ttl=55 time=73.3 ms
Пробуем подклчиться по http:
client # wget 2ip.ru --2010-03-29 13:28:42-- http://2ip.ru/ Распознаётся 2ip.ru... 188.40.74.9, 188.40.74.10 Устанавливается соединение с 2ip.ru|188.40.74.9|:80... соединение установлено. Запрос HTTP послан, ожидается ответ...
Подключиться не удалось :(
При этом по интерфейсу tun0 (интерфейс OpenVPN'а) клиент шлёт пакеты на 2ip.ru, но получает мало ответов:
server ~ # tcpdump -i tun0 host 2ip.ru tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type RAW (Raw IP), capture size 96 bytes 13:29:02.420231 IP 172.17.0.6.46665 > 2ip.ru.http: F 2100666980:2100666980(0) ack 207323017 win 37 <nop,nop,timestamp 993519 212106266> 13:29:03.736213 IP 172.17.0.6.58229 > 2ip.ru.http: S 2995688175:2995688175(0) win 4640 <mss 1160,sackOK,timestamp 994835 0,nop,wscale 7> 13:29:03.801861 IP 2ip.ru.http > 172.17.0.6.58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84765829 994835,nop,wscale 9> 13:29:03.808531 IP 172.17.0.6.58229 > 2ip.ru.http: . ack 1 win 37 <nop,nop,timestamp 994907 84765829> 13:29:03.814329 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 994907 84765829> 13:29:04.080589 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 995179 84765829> 13:29:04.624776 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 995723 84765829> 13:29:05.712385 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 996811 84765829> 13:29:07.889158 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 998987 84765829> 13:29:08.041157 IP 2ip.ru.http > 172.17.0.6.58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84766889 994835,nop,wscale 9> 13:29:08.045927 IP 172.17.0.6.58229 > 2ip.ru.http: . ack 1 win 37 <nop,nop,timestamp 999145 84766889,nop,nop,sack 1 {0:1}> 13:29:12.241096 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 1003339 84766889> 13:29:14.041497 IP 2ip.ru.http > 172.17.0.6.58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84768389 994835,nop,wscale 9> 13:29:14.048152 IP 172.17.0.6.58229 > 2ip.ru.http: . ack 1 win 37 <nop,nop,timestamp 1005146 84768389,nop,nop,sack 1 {0:1}> 13:29:15.481557 IP 172.17.0.6.46665 > 2ip.ru.http: FP 4294967192:0(104) ack 1 win 37 <nop,nop,timestamp 1006579 212106266> 13:29:20.946448 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 1012043 84768389> 13:29:26.046056 IP 2ip.ru.http > 172.17.0.6.58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84771390 994835,nop,wscale 9> 13:29:26.054023 IP 172.17.0.6.58229 > 2ip.ru.http: . ack 1 win 37 <nop,nop,timestamp 1017149 84771390,nop,nop,sack 1 {0:1}> 13:29:38.355789 IP 172.17.0.6.58229 > 2ip.ru.http: P 1:105(104) ack 1 win 37 <nop,nop,timestamp 1029451 84771390> 13:29:40.416426 IP 2ip.ru.http > 172.17.0.6.46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212118316 937147,nop,wscale 9> 13:29:40.421153 IP 172.17.0.6.46665 > 2ip.ru.http: . ack 1 win 37 <nop,nop,timestamp 1031517 212118316,nop,nop,sack 1 {0:1}> 13:29:50.246660 IP 2ip.ru.http > 172.17.0.6.58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84777440 994835,nop,wscale 9> 13:29:50.252392 IP 172.17.0.6.58229 > 2ip.ru.http: . ack 1 win 37 <nop,nop,timestamp 1041347 84777440,nop,nop,sack 1 {0:1}> ^C 23 packets captured 23 packets received by filter 0 packets dropped by kernel
А по интерфейсу ppp0 (внешний) наоборот, 2ip.ru шлёт пакеты клиенту, но получает мало ответов:
server ~ # tcpdump -i ppp0 host 2ip.ru tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 13:28:06.043792 IP [мой_внешний_ip].46665 > 2ip.ru.http: S 2100666875:2100666875(0) win 4640 <mss 1160,sackOK,timestamp 937147 0,nop,wscale 7> 13:28:06.108965 IP 2ip.ru.http > [мой_внешний_ip].46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212094739 937147,nop,wscale 9> 13:28:10.315023 IP 2ip.ru.http > [мой_внешний_ip].46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212095716 937147,nop,wscale 9> 13:28:16.015094 IP 2ip.ru.http > [мой_внешний_ip].46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212097216 937147,nop,wscale 9> 13:28:28.015083 IP 2ip.ru.http > [мой_внешний_ip].46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212100216 937147,nop,wscale 9> 13:28:52.215457 IP 2ip.ru.http > [мой_внешний_ip].46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212106266 937147,nop,wscale 9> 13:29:03.736301 [мой_внешний_ip].58229 > 2ip.ru.http: S 2995688175:2995688175(0) win 4640 <mss 1160,sackOK,timestamp 994835 0,nop,wscale 7> 13:29:03.801817 IP 2ip.ru.http > [мой_внешний_ip].58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84765829 994835,nop,wscale 9> 13:29:08.041124 IP 2ip.ru.http > [мой_внешний_ip].58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84766889 994835,nop,wscale 9> 13:29:14.041463 IP 2ip.ru.http > [мой_внешний_ip].58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84768389 994835,nop,wscale 9> 13:29:26.046011 IP 2ip.ru.http > [мой_внешний_ip].58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84771390 994835,nop,wscale 9> 13:29:40.416377 IP 2ip.ru.http > [мой_внешний_ip].46665: S 207323016:207323016(0) ack 2100666876 win 5792 <mss 1356,sackOK,timestamp 212118316 937147,nop,wscale 9> 13:29:50.246620 IP 2ip.ru.http > [мой_внешний_ip].58229: S 2701200199:2701200199(0) ack 2995688176 win 5792 <mss 1356,sackOK,timestamp 84777440 994835,nop,wscale 9> ^C 13 packets captured 86 packets received by filter 7 packets dropped by kernel
В чём я ошибся при настройке шлюза?
»
- Для комментирования войдите или зарегистрируйтесь