VPN/Firewall - [решено] Роутинг сабнетов через vpn подключение

VPN/Firewall - [решено] Роутинг сабнетов через vpn подключение

crashtuak

Старожил

Сообщения: 467
Благодарности: 25

Конфигурация

Профиль | Отправить PM | Цитировать

Добрый день. Есть коробка, которая работает как роутер, и имеет следующие настройки iptables:

Код:

-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N WAN-INPUT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lan -j ACCEPT
-A INPUT -s 192.168.32.0/24 -j ACCEPT
-A INPUT -i wan -j WAN-INPUT
-A INPUT -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.32.0/24 -i tun0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i lan -o wan -j ACCEPT
-A FORWARD -i wan -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A WAN-INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A WAN-INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A WAN-INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A WAN-INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A WAN-INPUT -j RETURN

К интерфейсу lan подключен свитч и другие компы, tun0 - впн сервак.
Имею такой роутинг:

Код:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         176.36.0.1      0.0.0.0         UG    100    0        0 wan
10.0.21.4       176.36.0.1      255.255.255.255 UGH   100    0        0 wan
176.36.0.0      *               255.252.0.0     U     100    0        0 wan
192.168.31.0    *               255.255.255.0   U     0      0        0 lan
192.168.32.0    192.168.32.2    255.255.255.0   UG    0      0        0 tun0
192.168.32.2    *               255.255.255.255 UH    0      0        0 tun0

Далее подключаю впн(интерфейс linode) на коробке-роутере, и получаю следующие роуты:

Код:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         176.36.0.1      0.0.0.0         UG    100    0        0 wan
10.0.21.4       176.36.0.1      255.255.255.255 UGH   100    0        0 wan
10.8.0.1        10.8.0.5        255.255.255.255 UGH   0      0        0 linode
10.8.0.5        *               255.255.255.255 UH    0      0        0 linode
87.240.128.0    10.8.0.5        255.255.192.0   UG    0      0        0 linode
93.186.224.0    10.8.0.5        255.255.248.0   UG    0      0        0 linode
93.186.232.0    10.8.0.5        255.255.248.0   UG    0      0        0 linode
95.142.192.0    10.8.0.5        255.255.248.0   UG    0      0        0 linode
95.142.192.0    10.8.0.5        255.255.240.0   UG    0      0        0 linode
95.142.200.0    10.8.0.5        255.255.248.0   UG    0      0        0 linode
95.142.201.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
95.142.202.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
95.142.203.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
95.142.204.0    10.8.0.5        255.255.254.0   UG    0      0        0 linode
95.142.206.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
95.142.207.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
95.213.0.0      10.8.0.5        255.255.192.0   UG    0      0        0 linode
176.36.0.0      *               255.252.0.0     U     100    0        0 wan
185.29.130.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
185.32.248.0    10.8.0.5        255.255.254.0   UG    0      0        0 linode
185.32.248.0    10.8.0.5        255.255.252.0   UG    0      0        0 linode
185.32.250.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
185.32.251.0    10.8.0.5        255.255.255.0   UG    0      0        0 linode
192.168.31.0    *               255.255.255.0   U     0      0        0 lan
192.168.32.0    192.168.32.2    255.255.255.0   UG    0      0        0 tun0
192.168.32.2    *               255.255.255.255 UH    0      0        0 tun0

Я почему то не могу допереть, почему на роутере 95.213.11.180(это ip который через интерфейс linode роутится) пигуется, а на машинах которые сидят за интерфейсом lan он не пингуется? Я не могу допереть, чего тут не хватает, и как это профиксить.
То есть, хочу что бы впнка linode пушила роуты(в основном это сервисы яндекса и вк для украины

) на мой кастомный роутер, а все остальные машины автоматически ходили для этих роутов маршрутом роутер-linode-целевой_айпи.
Заранее спасибо за помощь.

-------
Мне надо не так много "Полезных сообщений", чтоб сровнять их количество с моими постами :).

Отправлено: 02:47, 23-05-2017

crashtuak

Старожил

Сообщения: 467
Благодарности: 25

Профиль | Отправить PM | Цитировать

iptables для nat, забыл их добавить:

Код:

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.32.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.31.0/24 -o wan -j MASQUERADE

-------
Мне надо не так много "Полезных сообщений", чтоб сровнять их количество с моими постами :).

Отправлено: 09:57, 23-05-2017 | #2

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

crashtuak

Старожил

Сообщения: 467
Благодарности: 25

Профиль | Отправить PM | Цитировать

Разобрался, помог друг. Надо, добавил -A FORWARD -i lan -o linode -j ACCEPT и -t nat -A POSTROUTING -s 192.168.31.0/24 -o linode -j MASQUERADE и заработало.

-------
Мне надо не так много "Полезных сообщений", чтоб сровнять их количество с моими постами :).

Отправлено: 10:18, 23-05-2017 | #3