linux 2.6.35-22
является гейтом локалки для выхода в мир

eth0 - смотрит в мир, имеет реальный айпи A.A.A.A , default gate B.B.B.B
eth1 - локалка, 192.168
имеется впн, tap0 айпи из сети 10.10. - C.C.C.C default gate D.D.D.D
при этом реальный айпи адрес сервера на котором стоит впн и к которому конектимся R.R.R.R

по поднятию впна выполняется
/sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE

при опускании соответсвенно их удаление

впн поднимается нат работает но есть некоторые НО
ни с сервера ни с локалки не видно R.R.R.R
а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A

при чем при таких же самих правилах все работало на старом линухе который не обновлялся года 1.5

• vpn tunel, iptables,reader, 22:10 , 04-Ноя-10
  • vpn tunel, iptables,cook, 09:02 , 05-Ноя-10
• vpn tunel, iptables,PavelR, 08:18 , 05-Ноя-10
  • vpn tunel, iptables,cook, 09:05 , 05-Ноя-10
    • vpn tunel, iptables,PavelR, 13:42 , 05-Ноя-10
• vpn tunel, iptables,cook, 09:10 , 05-Ноя-10
  • vpn tunel, iptables,reader, 12:51 , 05-Ноя-10
    • vpn tunel, iptables,cook, 13:49 , 05-Ноя-10
      • vpn tunel, iptables,reader, 14:36 , 05-Ноя-10
        • vpn tunel, iptables,cook, 15:01 , 05-Ноя-10
          • vpn tunel, iptables,reader, 16:09 , 05-Ноя-10
            • vpn tunel, iptables,cook, 16:28 , 05-Ноя-10
              • vpn tunel, iptables,reader, 17:11 , 05-Ноя-10
                • vpn tunel, iptables,cook, 17:19 , 05-Ноя-10
                  • vpn tunel, iptables,cook, 17:41 , 05-Ноя-10
                    • vpn tunel, iptables,reader, 18:16 , 05-Ноя-10
                      • vpn tunel, iptables,cook, 18:38 , 05-Ноя-10
  • vpn tunel, iptables,PavelR, 13:38 , 05-Ноя-10
  • vpn tunel, iptables,PavelR, 13:38 , 05-Ноя-10

>[оверквотинг удален]
> имеется впн, tap0 айпи из сети 10.10. - C.C.C.C default gate D.D.D.D
> при этом реальный айпи адрес сервера на котором стоит впн и к
> которому конектимся R.R.R.R
> по поднятию впна выполняется
> /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE
> /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE
> при опускании соответсвенно их удаление
> впн поднимается нат работает но есть некоторые НО
> ни с сервера ни с локалки не видно R.R.R.R
> а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A

честно, ни чего не понял. если vpn между R.R.R.R и A.A.A.A поднялся и работает, то они друг друга видят.
что в вашем понимании "не видят"?

> при чем при таких же самих правилах все работало на старом линухе
> который не обновлялся года 1.5

> честно, ни чего не понял. если vpn между R.R.R.R и A.A.A.A поднялся
> и работает, то они друг друга видят.
> что в вашем понимании "не видят"?

после того как поднялся тунель и были установлены указанные правила iptables
трасировка сделанная с любого компа локалки или даже с самого сервера заканчивается на гейте D.D.D.D

> по поднятию впна выполняется
> /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE
> /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE

Правила бредовые, смысла в них - ноль.

> при опускании соответсвенно их удаление
> впн поднимается нат работает но есть некоторые НО
> ни с сервера ни с локалки не видно R.R.R.R
> а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A

Читайте про линукс и два провайдера. У вас уже этот случай.

> при чем при таких же самих правилах все работало на старом линухе
> который не обновлялся года 1.5

Работало - зачем было трогать ? :-)

>> по поднятию впна выполняется
>> /sbin/iptables -t nat -A POSTROUTING -o eth0 -d R.R.R.R -j MASQUERADE
>> /sbin/iptables -t nat -A POSTROUTING -o tap0 ! -d R.R.R.R -j MASQUERADE
> Правила бредовые, смысла в них - ноль.

это как раз именно то, что я хотел услышать, задавая вопрос на этом форуме

>> при опускании соответсвенно их удаление
>> впн поднимается нат работает но есть некоторые НО
>> ни с сервера ни с локалки не видно R.R.R.R
>> а из внешнего мира не видно реальный айпи внешнего ифейса A.A.A.A
> Читайте про линукс и два провайдера. У вас уже этот случай.

а до апдейта операционки похоже был другой...

>> при чем при таких же самих правилах все работало на старом линухе
>> который не обновлялся года 1.5
> Работало - зачем было трогать ? :-)

в следующий раз обязательно спрошу вашего разрешения...

>> Правила бредовые, смысла в них - ноль.
> это как раз именно то, что я хотел услышать, задавая вопрос на
> этом форуме

Рад что смог помочь.

>> Читайте про линукс и два провайдера. У вас уже этот случай.
> а до апдейта операционки похоже был другой...

Что поделать, жизнь динамична. И не всё нам в ней подвластно.

>>> при чем при таких же самих правилах все работало на старом линухе
>>> который не обновлялся года 1.5
>> Работало - зачем было трогать ? :-)
> в следующий раз обязательно спрошу вашего разрешения...

Мы сами создаем себе проблемы, а потом героически боремся с ними.
Se la vi.

смысл этих правил в том, чтобы локальная сеть видела весь мир через впн тунель, за исключением реального айпи сервера на котором поднят впн сервер ( R.R.R.R )

> смысл этих правил в том, чтобы локальная сеть видела весь мир через
> впн тунель, за исключением реального айпи сервера на котором поднят впн
> сервер ( R.R.R.R )

тогда читайте про 2 провайдера, как сказал PavelR.

если всех в инет через vpn, то маршрут к vpn клиенту через шлюз провайдера, а шлюзом по умолчанию ip tap интерфейса клиента vpn.

http://www.opennet.me/openforum/vsluhforumID1/89356.html

>> смысл этих правил в том, чтобы локальная сеть видела весь мир через
>> впн тунель, за исключением реального айпи сервера на котором поднят впн
>> сервер ( R.R.R.R )
> тогда читайте про 2 провайдера, как сказал PavelR.
> если всех в инет через vpn, то маршрут к vpn клиенту через
> шлюз провайдера, а шлюзом по умолчанию ip tap интерфейса клиента vpn.
> http://www.opennet.me/openforum/vsluhforumID1/89356.html

ессно, что это сделано, иначе как бы работало то, что я в самом начале написал
после поднятия впн становится так:

R.R.R.R   B.B.B.B  255.255.255.255 UGH       0 0          0 eth0
0.0.0.0         D.D.D.D       0.0.0.0         UG        0 0          0 tap0

>[оверквотинг удален]
> самом начале написал
> после поднятия впн становится так:
> R.R.R.R   B.B.B.B  255.255.255.255 UGH    
>  0 0        
>  0 eth0
> 0.0.0.0         D.D.D.D  
>     0.0.0.0      
>   UG        0
> 0          0
> tap0

это со шлюза и он же vpn клиент?
и что? после это со шлюза инет перестает работать и по ip и по доменным именам? если да то смотрите или показывайте правила iptables-save с шлюза(vpn-клиента) и с vpn-сервера.

смотрите приходят ли пакеты на vpn-сервер.

echo 1 > /proc/sys/net/ipv4/ip_forward должно быть выполнено и на vpn-клиенте и на vpn-сервере.

> это со шлюза и он же vpn клиент?
> и что? после это со шлюза инет перестает работать и по ip
> и по доменным именам? если да то смотрите или показывайте правила
> iptables-save с шлюза(vpn-клиента) и с vpn-сервера.
> смотрите приходят ли пакеты на vpn-сервер.
> echo 1 > /proc/sys/net/ipv4/ip_forward должно быть выполнено и на vpn-клиенте и на
> vpn-сервере.

это шлюз локальной сети, он же впн клиент
видно весь инет, все работает, кроме трассы на R.R.R.R
как выяснилось заходить по ссш я на него могу из локалки. а вот трасса почему то режется
и также из внешнего мира невозможно зайти на реальный айпи A.A.A.A
только это не работает

форвардинг включен везде, сервер впн рабочий и проверенный

кстати, почему таким странным образом форвадинг включаете, а не через sysctl ?

# Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010
*nat
:PREROUTING ACCEPT [3474:246886]
:OUTPUT ACCEPT [2713:178305]
:POSTROUTING ACCEPT [267:18794]
-A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE
-A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE
COMMIT

>[оверквотинг удален]
>> и что? после это со шлюза инет перестает работать и по ip
>> и по доменным именам? если да то смотрите или показывайте правила
>> iptables-save с шлюза(vpn-клиента) и с vpn-сервера.
>> смотрите приходят ли пакеты на vpn-сервер.
>> echo 1 > /proc/sys/net/ipv4/ip_forward должно быть выполнено и на vpn-клиенте и на
>> vpn-сервере.
> это шлюз локальной сети, он же впн клиент
> видно весь инет, все работает, кроме трассы на R.R.R.R
> как выяснилось заходить по ссш я на него могу из локалки. а
> вот трасса почему то режется

это работает через разные протоколы, tcp может быть разрешен, а udp, icmp могут быть запрещены.

> и также из внешнего мира невозможно зайти на реальный айпи A.A.A.A
> только это не работает

это, может быть из-за шлюза по умолчанию, а может быть из-за правил фильтрации iptables

> форвардинг включен везде, сервер впн рабочий и проверенный
> кстати, почему таким странным образом форвадинг включаете, а не через sysctl ?

это дело вкуса и привычки.

> # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010
> *nat
> :PREROUTING ACCEPT [3474:246886]
> :OUTPUT ACCEPT [2713:178305]
> :POSTROUTING ACCEPT [267:18794]
> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE
> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE
> COMMIT

другие таблицы тоже имеют значение.

>> это шлюз локальной сети, он же впн клиент
>> видно весь инет, все работает, кроме трассы на R.R.R.R
>> как выяснилось заходить по ссш я на него могу из локалки. а
>> вот трасса почему то режется
> это работает через разные протоколы, tcp может быть разрешен, а udp, icmp
> могут быть запрещены.

понимаю это, но негде этому резаться

>[оверквотинг удален]
> это дело вкуса и привычки.
>> # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010
>> *nat
>> :PREROUTING ACCEPT [3474:246886]
>> :OUTPUT ACCEPT [2713:178305]
>> :POSTROUTING ACCEPT [267:18794]
>> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE
>> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE
>> COMMIT
> другие таблицы тоже имеют значение.

это все что вывела iptables-save

повторю, что при таких же настройках все работало на более старой системе

>[оверквотинг удален]
>>> # Generated by iptables-save v1.4.4 on Fri Nov  5 13:56:26 2010
>>> *nat
>>> :PREROUTING ACCEPT [3474:246886]
>>> :OUTPUT ACCEPT [2713:178305]
>>> :POSTROUTING ACCEPT [267:18794]
>>> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE
>>> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE
>>> COMMIT
>> другие таблицы тоже имеют значение.
> это все что вывела iptables-save

покажите iptables -L

> повторю, что при таких же настройках все работало на более старой системе

не очень верится.
рассмотрим прохождение пакета из инета, не от R.R.R.R ( общения с R.R.R.R должны работать правильно из-за прописанного маршрута, если конечно входящие приходят через eth0).

пакет 1.1.1.1 > A.A.A.A (в заголовке 1.1.1.1 > A.A.A.A) приходит через eth0, допустим на A.A.A.A пакет прошел пакетный фильтр, был обработан и создан ответный пакет (в заголовке A.A.A.A > 1.1.1.1). согласно с таблицей маршрутизации пакет будет отправлен через tap. после ухода в заголовке пакета будет C.C.C.C > 1.1.1.1, с таким заголовком он придет на vpn-сервер, там если он не будет убит и пройдет через nat в заголовке будет R.R.R.R > 1.1.1.1 и в таком виде он придет к 1.1.1.1, который ждет пакет с заголовком A.A.A.A > 1.1.1.1, а не от R.R.R.R и по правильному на 1.1.1.1 пакет должен быть убит.

так было бы и 1,5 года назад.
так что чего-то вы не доделали по сравнением со старой системой.

>[оверквотинг удален]
>>>> *nat
>>>> :PREROUTING ACCEPT [3474:246886]
>>>> :OUTPUT ACCEPT [2713:178305]
>>>> :POSTROUTING ACCEPT [267:18794]
>>>> -A POSTROUTING -d R.R.R.R/32 -o eth0 -j MASQUERADE
>>>> -A POSTROUTING ! -d R.R.R.R/32 -o tap0 -j MASQUERADE
>>>> COMMIT
>>> другие таблицы тоже имеют значение.
>> это все что вывела iptables-save
> покажите iptables -L

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

>[оверквотинг удален]
> допустим на A.A.A.A пакет прошел пакетный фильтр, был обработан и создан
> ответный пакет (в заголовке A.A.A.A > 1.1.1.1). согласно с таблицей маршрутизации
> пакет будет отправлен через tap. после ухода в заголовке пакета будет
> C.C.C.C > 1.1.1.1, с таким заголовком он придет на vpn-сервер, там
> если он не будет убит и пройдет через nat в заголовке
> будет R.R.R.R > 1.1.1.1 и в таком виде он придет к
> 1.1.1.1, который ждет пакет с заголовком A.A.A.A > 1.1.1.1, а не
> от R.R.R.R и по правильному на 1.1.1.1 пакет должен быть убит.
> так было бы и 1,5 года назад.
> так что чего-то вы не доделали по сравнением со старой системой.

уже не раз пересмотрел, в плане разницы настроек, отличий не нашел...
сейчас еще раз загружу ее и проверю

все таки есть отличия
вот так на старом, видать какие то дефолтные настройки

# Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010
*nat
:PREROUTING ACCEPT [512:68958]
:POSTROUTING ACCEPT [253:16519]
:OUTPUT ACCEPT [237:14806]
-A POSTROUTING -d R.R.R.R -o eth1 -j MASQUERADE
-A POSTROUTING -d ! R.R.R.R -o tap0 -j MASQUERADE
COMMIT
# Completed on Fri Nov  5 16:33:14 2010
# Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010
*mangle
:PREROUTING ACCEPT [1447:217481]
:INPUT ACCEPT [826:138850]
:FORWARD ACCEPT [90:8155]
:OUTPUT ACCEPT [886:117340]
:POSTROUTING ACCEPT [1037:136937]
COMMIT
# Completed on Fri Nov  5 16:33:14 2010
# Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010
*filter
:INPUT ACCEPT [826:138850]
:FORWARD ACCEPT [90:8155]
:OUTPUT ACCEPT [886:117340]
COMMIT
# Completed on Fri Nov  5 16:33:14 2010

>[оверквотинг удален]
> :POSTROUTING ACCEPT [1037:136937]
> COMMIT
> # Completed on Fri Nov  5 16:33:14 2010
> # Generated by iptables-save v1.3.8 on Fri Nov  5 16:33:14 2010
> *filter
> :INPUT ACCEPT [826:138850]
> :FORWARD ACCEPT [90:8155]
> :OUTPUT ACCEPT [886:117340]
> COMMIT
> # Completed on Fri Nov  5 16:33:14 2010

не , тут нет разницы. просто по разному показано. iptables это наверно не единственное что настраивалось.

в общем читайте о маршрутизации, определяйтесь с тем что нужно, tcpdump на разных машинах покажет что получилось.

http://www.opennet.me/tips/info/2009.shtml
http://www.opennet.me/tips/info/1651.shtml

правда автора похоже вы заминусовали :)

> не , тут нет разницы. просто по разному показано. iptables это наверно
> не единственное что настраивалось.
> в общем читайте о маршрутизации, определяйтесь с тем что нужно, tcpdump на
> разных машинах покажет что получилось.
> http://www.opennet.me/tips/info/2009.shtml
> http://www.opennet.me/tips/info/1651.shtml
> правда автора похоже вы заминусовали :)

в плане маршрутизации все одинаково, таблицы те же показываются
такого эффекта когда родной айпи виден извне я не ждал в прошлый раз когда делал, просто так получилось, не специально, и теперь совсем понять не могу как так происходит

да, после второго ответа без конкретики, и философскими размышления употребил имеющиеся минусы, считаю, что лучше ничего не говорить если сказать конкретно нечего

благодарю за помощь )

> смысл этих правил в том, чтобы локальная сеть видела весь мир через
> впн тунель, за исключением реального айпи сервера на котором поднят впн
> сервер ( R.R.R.R )

так вот, это вы пытаетесь вложить этот смысл в эти правила.
На самом деле они делают совершенно другие вещи.

Знаете, ли, маршрутизация в файрволе в линуксе не настраивается. Это в некоторых других операционках так...

> смысл этих правил в том, чтобы локальная сеть видела весь мир через
> впн тунель, за исключением реального айпи сервера на котором поднят впн
> сервер ( R.R.R.R )

так вот, это _ВЫ_ пытаетесь вложить этот смысл в эти правила.
На самом деле они делают совершенно другие вещи.

Знаете, ли, маршрутизация в файрволе в линуксе не настраивается. Это в некоторых других операционках так...