Настройка VPN на Debian - Страница 3

lsmod · 01.09.2011, 19:42

Так, по dhcp получаете адрес?

Покажите вывод ifconfig

Покажите вывод route

БЕЗ vpn!

lsmod · 01.09.2011, 19:42

Цитата:

Сообщение от denn

pre-up iptables-restore < /etc/iptables.up.rules - строка с сайта настройки/раздачи инета

Покажите, что у вас в файле etc/iptables.up.rules

denn · 01.09.2011, 19:49

Цитата:

Сообщение от lsmod

Так, по dhcp получаете адрес?

Покажите вывод ifconfig

Покажите вывод route

БЕЗ vpn!

выключил vpn: poff

ifconfig:

Цитата:

eth0 Link encap:Ethernet HWaddr 00:1d:60:24:19:0a
inet addr:10.136.192.182 Bcast:10.136.192.191 Mask:255.255.255.192
inet6 addr: fe80::21d:60ff:fe24:190a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:564786 errors:0 dropped:0 overruns:0 frame:0
TX packets:335956 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:455778958 (434.6 MiB) TX bytes:40846402 (38.9 MiB)
Interrupt:221 Base address:0x2000

eth1 Link encap:Ethernet HWaddr 00:22:b0:de:68:f0
inet addr:192.168.1.200 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::222:b0ff:fede:68f0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:284592 errors:0 dropped:0 overruns:0 frame:0
TX packets:354917 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:27792094 (26.5 MiB) TX bytes:433629201 (413.5 MiB)
Interrupt:20 Base address:0xc800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:148 errors:0 dropped:0 overruns:0 frame:0
TX packets:148 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:26975 (26.3 KiB) TX bytes:26975 (26.3 KiB)

route:

Цитата:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.136.192.128 * 255.255.255.192 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0

denn · 01.09.2011, 19:50

Цитата:

Сообщение от lsmod

Покажите, что у вас в файле etc/iptables.up.rules

etc/iptables.up.rules:

Цитата:

# Generated by iptables-save v1.4.2 on Wed Aug 31 01:57:23 2011
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Aug 31 01:57:23 2011

lsmod · 01.09.2011, 19:55

10.136.192.182 - ваш адрес, полученный от оптинета.
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0 - ваш дефолтный маршрут до шлюза 10.136.192.129.

Выглядит всё прилично. Пингуйте ya1.ru или что-то в сетях СТК. Без VPN! Должно пинговаться, если не задурили систему всякими роутами.

pre-up iptables-restore < /etc/iptables.up.rules - эту строку пока уберите.

denn · 01.09.2011, 20:07

Цитата:

Сообщение от lsmod

10.136.192.182 - ваш адрес, полученный от оптинета.
default 10.136.192.129 0.0.0.0 UG 0 0 0 eth0 - ваш дефолтный маршрут до шлюза 10.136.192.129.

Выглядит всё прилично. Пингуйте ya1.ru или что-то в сетях СТК. Без VPN! Должно пинговаться, если не задурили систему всякими роутами.

pre-up iptables-restore < /etc/iptables.up.rules - эту строку пока уберите.

Пингует. Но stcm.ru, irc.ya1.ru и некоторые сайты *.ya1.ru не пингует. Ну вроде роуты только в /etc/ppp/ip-up.d/ прописывал. Файл этот удалил. ребутнул. Вся та же фигня. Строчку эту убрал. Когда VPN выключен, ресурсы я1 и другие сети СТК на других компах(локалке) не пингует.

lsmod · 01.09.2011, 20:16

У меня тоже не пингует. Сайт СыТыКи и irc-сервер между тем доступны. Более того - когда я раздаю интернет с десктопа на ноутбук, десктоп ноут может пропинговать, а вот ноут десктоп - нет. Потому что так настроено.

Будем считать, что с eth0 у вас всё в порядке.

Теперь проверьте, как работает vpn:

1. поднимите vpn

2. скомандуйте route. Маршрут по умолчанию должен поменяться на примерно такой:

Цитата:

default * 0.0.0.0 U 0 0 0 ppp0

3. посмотрите снова в файл /etc/resov.conf, там должны быть прописаны DNS-сервер(ы) СыТыКа.

4. Попингуйте ya1.ru и, например, yandex.ru. Если пингуются оба - всё (вероятно) ОК и можно заниматься настройкой раздачи интернета.

denn · 01.09.2011, 20:22

1. Поднял
2. pon vpn (route):

Цитата:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.172.6.18 * 255.255.255.255 UH 0 0 0 ppp0
94.245.160.5 10.136.192.129 255.255.255.255 UGH 0 0 0 eth0
10.136.192.128 * 255.255.255.192 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default * 0.0.0.0 U 0 0 0 ppp0

3. в resolv.conf всё так и осталось:

Цитата:

nameserver 80.73.64.251
nameserver 80.73.85.251

4. Пингует оба.
Не поможете с "нормальной" настройкой раздачи инета?

lsmod · 01.09.2011, 21:01

Будем считать, что и с vpn всё в порядке.

Теперь:

Раздавать интернет будете через eth1, как понимаю. Нужно:

1. Настроить интерфейс в /etc/network/interfaces, прописав адрес, маску сети и шлюз. Сразу замечу, что ваши адреса (192.168.1.ххх) мне не нравятся, хотя пусть будет на ваше усмотрение. Итак, прописываем:

Код:

address 192.168.1.200 (а лучше поменяйте его на что-то подальше от тривиального 192.168.1.xxx. Но я дальше буду иметь в виду его, обратите внимание!)
netmask 255.255.255.0
gateway (ваш шлюз по умолчанию в СТК - судя по route это 10.136.192.129)

2. В файле /etc/sysctl.conf найдите строку

#net.ipv4.ip_forward=1

и раскомментируйте её (уберите #). Если такой строки нет (должна быть), сами добавьте её.

3. Настройте маскарадинг: в ваш файл /etc/iptables.up.rules добавьте строки:

Код:

-A FORWARD -i eth1 -j ACCEPT 
-A FORWARD -o eth1 -j ACCEPT
-A POSTROUTING -o ppp0 -s адрес_вашего_второго_компа/32 -j MASQUERADE
-A POSTROUTING -o eth0 -s адрес_вашего_второго_компа/32 -j MASQUERADE

Сохраните изменения. Перезагрузите систему.

На "втором" компьютере настраиваете интерфейс, смотрящий в eth1 "первого" компьютера:

Код:

address 192.168.1.201 (допустим, хреновые у вас адреса :fie:  )
netmask 255.255.255.0
gateway 192.168.1.200 <-- т.е. шлюз для него - ваш "первый" компьютер.

На "втором" компьютере в /etc/resolv.conf прописываем DNS-серверы СТК (те же, что и на "первом").

P.S.

Если по DHCP вам выдаёся постоянный адрес (серый и белый) то лучше использовать не маскарадинг, а честный NAT. Маскарадинг используется при динамической раздаче адресов и больше нагружает ядро. В случае NAT в правила iptables следует прописать строки:

Код:

-A POSTROUTING -o ppp0 -s адрес_"второго"_компа/32 -j SNAT --to-source адрес_при_поднятом__vpn
-A POSTROUTING -o eth0 -s адрес_"второго"_компа/32 -j SNAT --to-source 
адрес_который_у_вас_без_vpn

denn · 02.09.2011, 00:40

Вообщем вроде сделал, но вот /etc/iptables.up.rules первая, вторая ваша цитата не работает. eth1 не хочет включатся с этими настройками, на сколько я понял. В ifconfig не видно eth1. Когда убираешь эти строки, включается и появляется инет. Но без VPN(pon vpn) второй комп не видит локалку(ya1.ru и т.д). Да и с включенным инетом не открывает stcm.ru,irc.ya1.ru.