@the_scs
Погромист-самоучка

Как настроить firewall linux для маршрутизации трафика из ppp* интерфейсов в локальную сеть?

Добрый вечер.
Имеется маршрутизатор на Debian и pptpd сервер.
Как настроить Firewall так, чтоб каждый клиент впн имел доступ к локальной сети, маршрутизатору, и главное - к выходу в интернет с удалённого хоста?
Порты GRE и TCP-1723 проброшены, устройства подключаются, но не видят удаленной локалки.
IP адреса клиентам VPN выдаются из то-же подсети, что и в локалке.
Подсеть локалки 192.168.10.0/24.
Идея в том, что сервер с VPN настроен таким образом, что позволяет обходить все блокировки через TOR, и замысел таков, чтоб смартфон подключался к серверу, и получал доступ к инету в обход блокировок.
5c379e26a84a8244141058.png
  • Вопрос задан
  • 46 просмотров
Пригласить эксперта
Ответы на вопрос 1
@andiges
hint000,
полностью согласен, это стоит проверить и может быть добавить к вопросу. Ещё интересно где установлен dhcp сервер, не случаются ли колизии адресов, если два разных сервера раздают адреса из той же сети. А ещё пока я это писал задумался про маршрутизацию, получается, что сеть 192.168.10.0/24 доступна через 2 интерфейса, а значит 2 раза вписана в таблицу маршрутизации. А значит, когда ядро проверяет куда девать пакет, оно всегда берет одну из 2 рут, и я предположу, что одна из них имеет меньшую метрику(рута в локальную сеть) , а значит всегда используется.

Получается следующее: клиент через vpn посылает клиенту в локальной сети пинг, то есть пакет идёт с адреса скажем 192.168.10.4 на 192.168.10.3, приходит на сервер, сервер проверяет маршруты, выбирает наилучший, отправляет клиенту в локалке, он принимает, отправляет ответ через его стандартную руту, ответ приходит на сервер и тут происходит ошибка, сервер снова ищет лучшую руту для сети 192.168.10.0 и находит снова руту в локальную сеть. Это можно довольно легко проверить запустив tcpdump на прослушку пингов на всех клиентах серверах.
Итог: попробуй использовать другую сеть, проверь руты, может добавишь их сюда, для проверки.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы