forum.opennet.ru

"Одновременно 3 оpenvpn-поединения через разные шлюзы"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Одновременно 3 оpenvpn-поединения через разные шлюзы"	+/–
Сообщение от Павел (??), 23-Авг-12, 10:18
> если правильно понимаю схему сверху на интерфейсе eth1:0 должен быть адр 192.168.2.100. угу, в eth1:0 192.168.2.100 > команда проще: tcpdump -i eth1:0 -n tcp port 333 с этим разобрался уже! ;) > мысли: в output у пакета уже есть src адрес 1.100 меткой ты > его перенаправляешь в сетку 2.х там он уходит на нужный гейт > а вот возвращаясь на гейт он(новый пакет того же соединения) обратно > приводиться к адресу 1.100 и вот этот адрес для гейта загадка > он не знает куда его послать и отправляет обратно в инет > по своему дефолтному гейту. выход - попробуй snat. То есть так? iptables -t nat -A POSTROUTING -s x.x.x.x --sport 333 -d 192.168.1.100 -j SNAT --to-source 192.168.2.100
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Одновременно 3 оpenvpn-поединения через разные шлюзы, Павел, 23-Авг-12, 03:12 [смотреть все]

сначала проверь что openvpn у тебя по tcp настроен, у всех бывают досадные мелки, 1, 23-Авг-12, 08:42 (1) //
- тупанул, у тебя же это локалки так что правила оставлять , 1, 23-Авг-12, 08:44 (2)
- Да, проверял Везде установлен протокол TCP выполняю коннект к ххх ххх ххх ххх п, Павел, 23-Авг-12, 09:34 (3) //
  - если правильно понимаю схему сверху на интерфейсе eth1 0 должен быть адр 192 168, 1, 23-Авг-12, 10:08 (4) //
    - возможно в настройках openvpn сразу можно прописать интерфейс с которого выходит, 1, 23-Авг-12, 10:11 (5)
    - угу, в eth1 0 192 168 2 100с этим разобрался уже То есть так iptables -t nat , Павел, 23-Авг-12, 10:18 (6)
      - То есть такiptables -t nat -A POSTROUTING -p tcp --dport 111 -j SNAT --to-source, 1, 23-Авг-12, 10:23 (7)
        
        снова косяк везде нужно -d xxx xxx xxx xxx добавить это адрес твоего сервака, 1, 23-Авг-12, 10:25 (8)
        
        твоего vpn сервака , 1, 23-Авг-12, 10:25 (9)
        
        Угу, сделал Тоже самое, что и настройка в самом Openvpn Спасибо, пригодиться н, Павел, 23-Авг-12, 10:36 (11)
        
        tcpdump , 1, 23-Авг-12, 10:39 (13)
        
        смысл tcpdump узнать что пакетики ходят правильно и соединение устанавливается , 1, 23-Авг-12, 10:46 (14)
        
        а может лучше такiptables -t nat -A POSTROUTING -o eth0 -d 192 168 0 0 24 -j S, 1, 23-Авг-12, 10:37 (12)
        
        С алиасами это не прокатывает , Павел, 23-Авг-12, 10:48 (15)
        
        Походу не только это не прокатывает Я тестировал соединение через eth1 0 - через, Павел, 23-Авг-12, 10:58 (16)
        
        попробуй такiptables -t nat -A POSTROUTING -o eth1 -d 192 168 1 0 24 -m --ma, 1, 23-Авг-12, 11:22 (17)
        
        Попробовал, не фурыкает метку правильней так указывать -m mark --mark 3 , Павел, 23-Авг-12, 12:25 (18)
        верно я по памяти и без проверки тогда давай tcpdump что показывает с фильтром, 1, 23-Авг-12, 13:11 (19)
        В качестве IP сервера взял 8 8 4 4iptables -t nat -A POSTROUTING -o eth1 -d 19, Павел, 23-Авг-12, 14:18 (20)
        ну и что ты посмотрел этими командами только то что пакеты уходят вроде как пра, 1, 23-Авг-12, 14:46 (21)
        Не устанавливается vpn соединение и с 8 8 4 4 тоже не работаетПроверял и так так, Павел, 23-Авг-12, 15:51 (22)
        парень либо логи либо ковыряй сам адрес свой можешь заменить на что хочешь, важ, 1, 23-Авг-12, 15:59 (23)
        Вот с vpn соединением На сервер 2 ничего не приходит tcpdump -i eth1 0 -n, Павел, 23-Авг-12, 16:08 (25)
        1 с dst ты снова режешь трафик только исходящий смотришь ты уже и так убедился , 1, 23-Авг-12, 16:37 (26)
        старнно, пробую пинговать ping -I eth1 ya ruPING ya ru 77 88 21 3 from 192 1, Павел, 23-Авг-12, 18:09 (27)
        попробуй tcptraceroute tcptraceroute -i eth1 0 -p 333 xxx xxx xxx xxx через пра, 1, 23-Авг-12, 22:29 (29)
        так же на самом сервере 2 проверял tcpdump ом, пакеты до него не доходят , Павел, 23-Авг-12, 16:03 (24)
        tcptraceroute -i eth1 0 -p 333 xxx xxx xxx xxx через правильный шлюз идёт , 1, 23-Авг-12, 22:26 (28)
        Ругается на алиас Если так tcptraceroute -p 333 xxx xxx xxx xxx то первый ша, Павел, 23-Авг-12, 22:53 (30)
        tracert -p 333 xxx xxx xxx xxx -T Если несколько раз подряд так делать, то иной, Павел, 23-Авг-12, 23:09 (35)
        это именно по tcp и поэтому будет отрабатывать --set-mark 3вот эти пару правил з, 1, 23-Авг-12, 23:13 (36)
        да если использовать порт 333 то и интерфейс указывать уже не нужно по идее все , 1, 23-Авг-12, 23:15 (37)
        Вот еще информация к размышлению ip rule0 from all lookup local32760 fr, Павел, 23-Авг-12, 23:00 (31)
        все верно на самом деле физически ты через eth1 отдаешь пакет в сеть , 1, 23-Авг-12, 23:04 (33)
        Все, разобрался Провода от роутеров были перепутаны Теперь все поперло как , Павел, 24-Авг-12, 13:49 (44)
        gt оверквотинг удален правильно напрягает алиас - это только дополнительный I, LSTemp, 23-Авг-12, 23:05 (34)
        
        как вариант - поднять vlan м ду сервер1 и шлюзами - тогда интерфейсы виланов буд, LSTemp, 23-Авг-12, 23:01 (32)
        
        То есть вместо eth1 и eth1 0 сделать vlan1 и vlan2 Типа этого auto vlan1iface vl, Павел, 23-Авг-12, 23:29 (38)
        именно только лучше vlan ID отличными от 1 выбрать vlan1001 и vlan1002 наприме, LSTemp, 23-Авг-12, 23:54 (39)
        создал vlan1 и vlan2, REORDER_HDR включен Должны ли ходить пинги на роутер 1 , Павел, 24-Авг-12, 02:22 (40)
        а сам как думаешь eth1 vlan1eth1 0 vlan2- пинги до шлюзов ходить должны если v, LSTemp, 24-Авг-12, 04:02 (41)
        Я честно говоря еще не сильно вник в вланы Так бегло почитал, что влан должна с, Павел, 24-Авг-12, 10:51 (42)
        Сдается мне, что роутеры тоже должны поддерживать vlan , Павел, 24-Авг-12, 11:53 (43)
        угу , LSTemp, 24-Авг-12, 23:00 (49)
        Линух умеет Это для винды сетевая карта должна виланы поддерживать по схеме у В, LSTemp, 24-Авг-12, 22:55 (47)
        Все, разобрался Провода от роутеров были перепутаны Теперь все поперло как , Павел, 24-Авг-12, 13:50 (45)
        повеселились D, 1, 24-Авг-12, 15:10 (46)
        как всегда - засада была там, где не ждали , LSTemp, 24-Авг-12, 22:57 (48)
      - gt оверквотинг удален В общем да, в настройках openvpn есть параметр указывающ, Павел, 23-Авг-12, 10:31 (10)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру