https://slinkov.ru/openforum/vsluhforumID1/85604.html Доброе утро ) <br>Ситуация такая - есть сервер c установленной ОС mandriva,это сервер выступает как интернет шлюз, на нём установлен прокся и почтовик. По топологии сети за этим сервером распологается сервер с Win 2003 (например, ip 10.1.1.1), там установлен Kerio Firewall и поднят VPN-сервер.<br><br>Так вот я хочу из дома соединяться благодаря kerio vpn client соединяться c vpn сервером организации и попадать в сеть.<br>Понимаю что для этого надо настроить iptables на интернет шлюзе, чтоб он пакеты с определенного ip адреса и порта направлял на vpn сервер. <br>Люди подскажите как правильно это сделать ?? <br>порт у vpn сервера - 4090. <br>мой ip - 12.12.12.12 <br><br>вот мой вариант - <br><br>iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport 4090 -j DNAT --to-destination 10.1.1.1:4090<br>iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp --sport 4090 -j SNAT --to-source 12.12.12.12:4090<br><br>я так делал и что то не вышло.<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#15 Fri, 12 Jun 2009 12:02:52 GMT за последнюю неделю уже в трех ветках памойму написал а никто нечитает даже.товарищи ЮЗАЙТЕ поиск по подобным проблемам.вопервых в фаире подгрузите модуль ip_nat_pptp (без него и недолжен работать впн через ваш шлюз)во вторых есть генеальная никсовая софтина называеться tcpdump если вы незнаете как с ней работать то никогда нормально без чьей либо помощи несможете разобраться в проблемах в сети,посмотрите на обеих интерфейсах что приходит что уходит.и в третих прочитайте вы уже наконецтаки <br>http://www.opennet.ru/docs/RUS/iptables/<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#14 Fri, 12 Jun 2009 11:30:45 GMT &gt;[оверквотинг удален]<br>&gt;DNAT --to-destination $LOCAL_IP:$PORT2 <br>&gt;iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j <br>&gt;ACCEPT <br>&gt;<br>&gt;<br>&gt;ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает <br>&gt;ошибку Невозможно организовать туннелирование данных. <br>&gt;<br>&gt;Надо в postrouting написать. <br>&gt;помогите.. <br><br>postrouting такой же как вы и писали только место -o eth1 пишите -o eth0, но если это шлюз и он уже и так для всего SNAT делает, то будет незачем, показывайте iptables-save и ifconfig, только белые адреса замаскируйте, так что бы логика осталась понятна<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#13 Fri, 12 Jun 2009 10:53:11 GMT iptables -t nat -A PREROUTING -p tcp -d $EXT_R_IP --dport $PORT1 -j DNAT --to-destination $LOCAL_IP:$PORT2<br>iptables -A FORWARD -i eth0 -d $LOCAL_IP -p tcp --dport $PORT2 -j ACCEPT<br><br><br>ввёл такого рода команды. до vpn сервера пробиваюсь. и там он выдает ошибку Невозможно организовать туннелирование данных. <br><br>Надо в postrouting написать.<br>помогите..<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#12 Fri, 12 Jun 2009 09:52:41 GMT &gt;а надо на сервере интернет шлюз открывать порт 4090 ?? <br>&gt;чтобы к нему коннектился клиент.. <br><br>и что?<br>SNAT для пакетов от сервера делается или нет?<br>у eth1 адрес из подсети 10.1.1.0 ?<br>у сервера что шлюзом прописано?<br>на сервер пакеты приходят или нет?<br>ответы от сервера уходят?<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#11 Fri, 12 Jun 2009 09:32:31 GMT а надо на сервере интернет шлюз открывать порт 4090 ?? <br>чтобы к нему коннектился клиент..<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#10 Fri, 12 Jun 2009 09:31:41 GMT eth0 - интерфейс который смотрит в стороноу провайдера, а eth1 в сторону локалки. <br> <br>&gt;<br>&gt;интересно у вас получается, DNAT делаете на eth0 и если это интерфейс <br>&gt;смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл <br>&gt;такого SNAT не понятен <br>&gt;<br>&gt;покажите iptables-save и укажите какие интерфейсы куда смотрят https://slinkov.ru/openforum/vsluhforumID1/85604.html#9 Fri, 12 Jun 2009 08:11:55 GMT &gt;[оверквотинг удален]<br>&gt;мой ip - 12.12.12.12 <br>&gt;<br>&gt;вот мой вариант - <br>&gt;<br>&gt;iptables -t nat -A PREROUTING -i eth0 -d 12.12.12.12 -p tcp --dport <br>&gt;4090 -j DNAT --to-destination 10.1.1.1:4090 <br>&gt;iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -p tcp <br>&gt;--sport 4090 -j SNAT --to-source 12.12.12.12:4090 <br>&gt;<br>&gt;я так делал и что то не вышло. <br><br>интересно у вас получается, DNAT делаете на eth0 и если это интерфейс смотрящий на провайдера, а eth1 смотрит на сервер, то тайный смысл такого SNAT не понятен<br><br>покажите iptables-save и укажите какие интерфейсы куда смотрят<br> https://slinkov.ru/openforum/vsluhforumID1/85604.html#8 Fri, 12 Jun 2009 07:36:34 GMT Нет, он отключен. <br>&gt;Кстати, а виндовый файрвол не блокирует пакеты? https://slinkov.ru/openforum/vsluhforumID1/85604.html#7 Fri, 12 Jun 2009 07:35:45 GMT запрос на установление отклонен сервером - может сервер который интернет шлюз ?? <br><br>с настройками впн сервера всё нормуль, там чётко прописано с какого ip можно создавать vpn-туннель.<br><br>А куда будут сыпаться логи для фильтра пакета ?? <br><br>&gt;[оверквотинг удален]<br>&gt;&gt;Пишет запрос на установление отклонен сервером. <br>&gt;&gt;Может логи стоит на сервере посмотреть ? <br>&gt;<br>&gt;Посмотрите логи. Можете включить логи и для фильтра пакетов: <br>&gt;<br>&gt;iptables -t mangle -A FORWARD -p tcp --dport 4090 -LOG ACCEPT <br>&gt;iptables -t mangle -A FORWARD -p tcp --sport 4090 -LOG ACCEPT <br>&gt;<br>&gt;Если сервер отвечает, то очевидно, что пакеты проходят. Значит нужно смотреть настройки <br>&gt;самого VPN-сервера. <br><br>