Есть две сетевухи. Локалка и на провайдера. Поднимаю ВПН. В правилах файрвола включен маскарадинг. Проблема в том что когда пытаюсь выйти с локальной машины сервак затыкается до тех пор пока ВПН не рестартануть. Через проксю все работает нормально. Где проблема??? Ядро 2.4.20-8
Ar: Проблема с файрволом или ВПН???
телепаты в отпусках..
какой впн? протокол имеется ввиду. маскарадинг на локалке и маскарадинг на интерфейсах впн разные вещи. в чем выражается затык? конфиги бы не помешали... (попивая пивко) проблема то как правило тривиальная :)
Впн - pptp-1.4, протокол gre, в iptables только -t nat POSTROUTING -j MASQUERADE
потом был обновлен pptp до 1.6, проблема осталась таже. При поднятии впн поднимался route add -net 0.0.0.0 gw x.x.x.x. Убрал этот роут из настроек pptp и автоматом добавился ip route default dev ppp0. После этого все заработало? Объясните, я не правильно указывал default gateway???
Еще вопрос, как при загрузке системы поднимать pptp в консоле??? Пока только смог из под иксов запустить!
роутить на pptp необходимости нет, при подъеме интерфейса правила сами добавятся...
и что ты подразумеваешь под "поднимать в консоле"?
[b]maax[/b], каким таким образом правила добавятся сами ?
дефолтовый маршрут может добавиться сам в случае если в опциях pppd указать defaultroute.
[b]Ar[/b] [blockquote]Еще вопрос, как при загрузке системы поднимать pptp в консоле???[/blockquote]
если ты хочешь устанавливать соединение при помощи консольной команды, то это зависит во многом от конфигурации pptp|pppd
например команда запуска может выглядеть так:
[color=green]pptp hostname[/color]
или:
[color=green]pptp hostname [file /etc/ppp/options.pptp][/color]
Спасибо с запуском из консоли разобрался. Но проблема осталась таже, соединяюсь нормально, с сервера можно лазить в инете, но стоит из локалки попытаться выйти в инет, проподает работоспособность на внешний IP, т.е. в локалке пинги ходят, а наружу нет. Есть еще странность, почему-то нет файла named.conf (Дистрибутив RH9), И СУДЯ ПОВСЕМУ из-за этого все и падает. Чем лечить, переустановкой bind-9 или чем???
[quote=Ar]Спасибо с запуском из консоли разобрался. Но проблема осталась таже, соединяюсь нормально, с сервера можно лазить в инете, но стоит из локалки попытаться выйти в инет, проподает работоспособность на внешний IP, т.е. в локалке пинги ходят, а наружу нет. Есть еще странность, почему-то нет файла named.conf (Дистрибутив RH9), И СУДЯ ПОВСЕМУ из-за этого все и падает. Чем лечить, переустановкой bind-9 или чем???[/quote]
В /etc/sysctl.conf ip forward в 1.
named.conf тебе не нужен. Из-за его отсутствия ничего не падает. Падает чаще с его присутствием в rh9.. :-)
[ Редактирование 16.08.2006 - 20:06:02 ]
[blockquote] /etc/sysctl.conf ip forward в 1.
named.conf тебе не нужен. Из-за его отсутствия ничего не падает. Падает чаще с его присутствием в rh9..
[/blockquote]
включен ip_forward в 1, что еще может быть???
вывод команды route после запуска PPTP в студию, или netstat -rn
вывод ifconfig, и iptables -L -t nat
ну да, с NAT наверное и следовало начинать...
2frug: при подъеме ppp интерфейса в роутинговой таблице на сервере появится хостовый маршрут к удаленной машине, если вы не знали..
а начинать надо, повторяю, с конфигов, чего гадать-то, тренеруем телепатию? :)
[blockquote]route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.5.1 0.0.0.0 255.255.255.255 UH 0 0 0 eth0
81.176.27.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:AD:98:C1:F9
inet addr:192.168.5.203 Bcast:192.168.5.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2261 errors:0 dropped:0 overruns:0 frame:0
TX packets:1698 errors:0 dropped:0 overruns:0 carrier:0
collisions:8 txqueuelen:100
RX bytes:757320 (739.5 Kb) TX bytes:262284 (256.1 Kb)
Interrupt:10 Base address:0x7400
eth1 Link encap:Ethernet HWaddr 00:14:78:28:DD:F3
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5064 errors:0 dropped:0 overruns:0 frame:0
TX packets:3193 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:536823 (524.2 Kb) TX bytes:250915 (245.0 Kb)
Interrupt:5 Base address:0x7000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:90 errors:0 dropped:0 overruns:0 frame:0
TX packets:90 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:6552 (6.3 Kb) TX bytes:6552 (6.3 Kb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:213.59.126.203 P-t-P:81.176.27.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1496 Metric:1
RX packets:828 errors:0 dropped:0 overruns:0 frame:0
TX packets:985 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:527411 (515.0 Kb) TX bytes:127059 (124.0 Kb)
iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination[/blockquote]
вот вывод комманд, Наряду с этим могу сказать что кгда поднимаю впн на шлюзе и на локальной машине в ДОС режиме даю ping www.ru, все нормаль, а запускаю explorer и пинги перестают ходить?
По-моему у тебя проблема с дефолт роутом:
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 - это какая-то бешеная запись
Вот так вот более правильно:
0.0.0.0 213.59.126.203 0.0.0.0 UG 0 0 0 ppp0
Ну на худой конец так:
0.0.0.0 81.176.27.1 0.0.0.0 UG 0 0 0 ppp0
насчет дефаулт роута однозначно проблема..
гмм, в начале ветки речь шла о двух сетевых, на локалку и на провайдера, откуда ppp0 взялся? :) модем?
Судя по MTU, ppp0 в данном случае - это pptp через ethernet на провайдера. Причем роут ставится автоматом, поправь запись на дефолтроут руками. И не пользуйся гуевыми прогами для pptp :)
<span class='smallblacktext'>[ Редактирование 21.08.2006 - 07:38:03 ]</span>
Да, все дело оказалось в MTU, выставил правильный, роут поправил ручками и все заработало!!! Всем большое спасибо!!!
Все верно :) У тебя с локалки(MTU 1500) валился пакет шире, чем тот, который можно в VPN загнать(1496). Вот и не ходил у тебя tcp.
И шо ж вы с этим бедным MTU сделали-то? На локальном интерфейсе 1496 выставили, или на PPtP на 1500 "поправили"? :-)
MTU трогать не надо, пакеты не всегда имеют максимальный размер 1500, и если имеют, то имеют свойство фрагментироваться, так что пролезут. Другое дело что роутинг кривой был..
[quote=edge]MTU трогать не надо, пакеты не всегда имеют максимальный размер 1500, и если имеют, то имеют свойство фрагментироваться, так что пролезут[/quote]
Изменением MTU лечится вот эта проблема:
[quote=Ar]вот вывод комманд, Наряду с этим могу сказать что кгда поднимаю впн на шлюзе и на локальной машине в ДОС режиме даю ping www.ru, все нормаль, а запускаю explorer и пинги перестают ходить?[/quote]
Только автор не прав, пинги все равно ходили бы. Только вот tcp-сессии не поднимались бы. Но изначально проблема была действительно в неверной статической маршрутизации.
<span class='smallblacktext'>[ Редактирование 22.08.2006 - 17:04:02 ]</span>
Конфиг маршрутизации который я выложил для обозрения, это уже был крик души в виде эксперимента, изначально было прописано все так же как и сейчас. А MTU действительно ограничел до 1300, по рекомендации провайдера, и все заработало!!!

Последние комментарии
10 лет 22 недели назад
10 лет 41 неделя назад
10 лет 51 неделя назад
11 лет 6 часов назад
11 лет 41 неделя назад
11 лет 41 неделя назад
11 лет 41 неделя назад
11 лет 42 недели назад
11 лет 42 недели назад
11 лет 43 недели назад