Не работает VPN-клиент за NAT-ом
Здравствуйте товарищи!
У меня подобная проблемма: не работает VPN-клиенты находящиеся за NAT-ом моего сервера (естественно под генту :)).
Стоял настроенный сервер и радовал всех, но потом провайдер решил что внешка нам не нужна (только городская Томская сеть),
и встал вопрос о внешке, естественно VPN, нечто другое не устраивало. Но когда попытался установать VPN-тонель - облом,
на проверке логина/пасса все и вылетает (ощибка 619 в винде)...
Вот мой скрипт настройки файерфола:
#!/bin/bash
#
# Clear tables
iptables -F
iptables -t nat -F
iptables -X
# Basic rules
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Create new chain
iptables -N TOMSK
# Network map
export LAN=br0
export WAN=eth1
export WAN_IP="xxx.xxx.xxx.xxx"
# Allow local services
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I TOMSK 1 -i lo -j ACCEPT
# Description chain TOMSK
iptables -A TOMSK -s 62.68.128.0/19 -j ACCEPT
iptables -A TOMSK -d 62.68.128.0/19 -j ACCEPT
<<< длинный список Томских сетей >>>
# Forward ports
iptables -t nat -A PREROUTING -p tcp -d ${WAN_IP} --dport 6881 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d ${WAN_IP} --dport 6883 -j DNAT --to-destination 192.168.1.3
iptables -t nat -A PREROUTING -p tcp -d ${WAN_IP} --dport 6884 -j DNAT --to-destination 192.168.1.4
# Allow ESTABLISHED connection
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow NAT
iptables -A FORWARD -j TOMSK
iptables -A FORWARD -i ${LAN} -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -i ${LAN} -s 192.168.1.3 -j ACCEPT
iptables -A FORWARD -i ${LAN} -s 192.168.1.4 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j SNAT --to-source ${WAN_IP}
# Save rules and restarting firewall
/etc/init.d/iptables save
/etc/init.d/iptables restart
- Для комментирования войдите или зарегистрируйтесь
cat /etc/conf.d/net; zcat
cat /etc/conf.d/net;
zcat /proc/config.gz|grep NF_CONNTRACK
v studiju , please
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Так, вроде бы VPN заработал
Так, вроде бы VPN заработал после перекомпиляции ядра с включением всех модулей netfilter и QoS.
Но VPN-соединение разрывается каждые 20 секунд, не могу понять толи провайдер виноват, то ли у меня косяк...
Еще вопрос: может ли такое происходить из-за сетевого моста? Вот мой /etc/conf.d/net для наглядности:
config_eth0=( "null" )
config_eth1=( "xxx.xxx.xxx.xxx/25" )
routes_eth1=( "default gw xxx.xxx.xxx.xxx" )
#>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
vlans_eth1="1 7"
vconfig_eth1=( "set_name_type VLAN_PLUS_VID_NO_PAD" )
config_vlan1=( "192.168.3.100/24" )
config_vlan7=( "null" )
#>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
brctl_br0=( "setfd 0" "stp off" )
bridge_br0="eth0 vlan7"
config_br0=( "192.168.1.1/24" )
depend_br0() {
need net.eth0 net.vlan7
}
Если ничего не помогает, прочти наконец инструкцию...
А вы не пробовали поднять VPN
А вы не пробовали поднять VPN на вашем сервере? Это может помочь вам определиться с работой провайдера.
Какой тип VPN используется?
У меня клиенты нормально ходят наружу с win по pptp через нат и pppoe к провайдеру.
Как удалось выяснить
Как удалось выяснить провайдер использует Cisco VPN.
Тип: PPTP
Авторизация: MSCHAPv2
Компрессия и шифрование не используются.
IP выдается провайдером.
Сегодня попробую на сервере поднять VPN, но думаю не поможет.
Я заметил странный парадокс к работе железа провайдера: через каждые 40 секунд теряется 3 пакета, причем это произходит
переодически и с завидной точностью. Скорее всего демону ppp надо будет передать параметр принудительного удержания соединения.
Если ничего не помогает, прочти наконец инструкцию...