gall 6 Опубликовано: 2010-07-29 11:20:53 Share Опубликовано: 2010-07-29 11:20:53 На работе срочно встал вопрос ходьбы по инету не с нашего IP (УТ) а с VPS сервера. Ну нада так нада. На сервере был установлен pptpd, запущен, пассворды розданы. Но начались проблемы. Подключиться юзеры могут, внутреннюю сеть пингуют, внешний ИП VPSa тоже пингуют, а вот дальше их шайтан-сервер не пускает. Прошу помощи понять где грабли, второй день маюсь. Даю конфиги и все что делал. cat /etc/pptpd.conf ppp /usr/sbin/pppd option /etc/ppp/options.pptpd debug noipparam logwtmp connections 15 speed 921600 localip 192.168.100.1 remoteip 192.168.100.100-150 cat /etc/ppp/options.pptpd name pptpd #auth #refuse-pap #refuse-chap #refuse-mschap require-mschap-v2 #require-mppe-128 #noauth ms-dns 193.200.132.160 ms-dns 192.168.100.1 proxyarp debug dump lock nobsdcomp novj novjccomp nologfd #mtu 1400 #mru 1400 sysctl -p net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.accept_source_route = 0 kernel.sysrq = 0 kernel.core_uses_pid = 1 net.ipv4.tcp_syncookies = 1 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 4294967295 kernel.shmall = 268435456 cat /proc/sys/net/ipv4/ip_forward 1 Shorewall cat /etc/shorewall/interfaces #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect routefilter,dhcp,tcpflags,nosmurfs vpn ppp0 detect cat /etc/shorewall/zones #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 vpn ipv4 cat /etc/shorewall/tunnels #TYPE ZONE GATEWAY GATEWAY # ZONE pptpserver vpn 192.168.100.1 cat /etc/shorewall/policy #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK # Localhost policy $FW net ACCEPT vpn net ACCEPT net vpn ACCEPT $FW vpn ACCEPT vpn $FW ACCEPT # Internet policy net $FW DROP info net all DROP info # The FOLLOWING POLICY MUST BE LAST all all REJECT info cat /etc/shorewall/masq #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ # GROUP eth0 192.168.100.1 cat /etc/shorewall/rules #################################################################################################################################################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME # PORT PORT(S) DEST LIMIT GROUP #SECTION ESTABLISHED #SECTION RELATED Ping/ACCEPT net $FW # DNS DNS/ACCEPT net $FW # SSH ACCEPT net:92.112.xx.xx $FW tcp 22 # HTTP HTTP/ACCEPT net:92.112.xx.xx $FW # SNMP SNMP/ACCEPT net:188.xx.xx.xx $FW # VPN ACCEPT net:92.112.xx.xx $FW 92.112.xx.xx - мой внешний ИП Адреса 192.168.100.1 и внешний ИП сервера на котором поднят впн пингуются нормально. Пытаюсь пингонуть чтото в инете - тишина. ДНС тоже не пашет. Трасерт выдает 29 хопов тишины traceroute 8.8.8.8 traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 40 byte packets using UDP Unable to look up 192.168.100.1: Temporary failure in name resolution 1 192.168.100.1 97.453 ms 96.342 ms 95.241 ms 2 * * * 3 * * * 4 * * * Помогите людииии!!!! Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2010-07-29 11:27:39 Share Опубліковано: 2010-07-29 11:27:39 а нат? на Iptables разрешит нат и выключи shorewall сделай все accept Ссылка на сообщение Поделиться на других сайтах
fibertool 3 Опубліковано: 2010-07-29 11:33:33 Share Опубліковано: 2010-07-29 11:33:33 Я так понял, что VPS на Openvz подымался. Была аналогичная ситуация с астериском. ИП ВПСа пингуется, зайти по ssh на него можно, а вот законектиться к астериску, который на этом ВПС, не получалось. iptables отключены были и на ноде и на ВПС. Проблема не была решена. Были предположения, что нужно копать в сторону виртуализации сетевого окружения Openvz. Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2010-07-29 11:41:10 Автор Share Опубліковано: 2010-07-29 11:41:10 Порубать фаер нельзя, так как там еще крутятся сервисы (свн, днс, веб). На данный момент немного прояснилось пофиксил нат (файл masq) ############################################################################### #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ # GROUP eth0 192.168.100.0/16 Теперь трасерт норм отдает маршрут, но только если с параметром -n тоесть нету ДНС. Есть варианты как решить проблему с ДНС. P.S.: шореволл потушить пока немогу, ибо не я все это строил... и так срасбегу поломать никак нельзя. PPS: пинг тоже не выходит за пределы сервера. блин, ну неужели никто еще не топтал эти грабли? Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2010-07-29 12:30:25 Share Опубліковано: 2010-07-29 12:30:25 выключи на время диагностики. проверь в днс сервере правила ACL Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2010-07-29 13:38:53 Автор Share Опубліковано: 2010-07-29 13:38:53 Локально попробовал на чистой ВМке, с выключенным фаерволом все работает отлично Видать чтото провтыкал в шореволе, но вот что. Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2010-07-29 14:30:59 Share Опубліковано: 2010-07-29 14:30:59 а так? ACCEPT $FW net udp 53 Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2010-07-30 13:02:29 Автор Share Опубліковано: 2010-07-30 13:02:29 Слишком легко чтобы быть правдой. Любые толковые идеи приветствуются. Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2010-07-30 13:08:28 Share Опубліковано: 2010-07-30 13:08:28 обычно тяжело делается самое легкое Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2010-07-30 14:19:05 Автор Share Опубліковано: 2010-07-30 14:19:05 100%% фигли там тот впн, да еще на линухе, да еще и самый простой pptpd. А вот болт товарищи админы. Нифига не просто. # VPN ACCEPT net:213.xxx.245.xxx $FW это открывает все что можно на мой ип и в policy vpn all ACCEPT all vpn ACCEPT а вот болт. ну почему я так туплю..... жара... нету кондиционера.... праздник....без пива..... кстати ВСЕХ С ПРАЗДНИКОМ!!!!! Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2010-07-31 18:23:50 Автор Share Опубліковано: 2010-07-31 18:23:50 Тема все еще актуальна. Под виндой трасерт вообще дальше ипа на другой стороне туннеля не идет. >route print =========================================================================== Список интерфейсов 29...........................test-dev 12...08 10 74 35 c2 f7 ......Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter 11...00 19 66 b4 71 74 ......Realtek RTL8168D/8111D Family PCI-E Gigabit Ethern et NIC (NDIS 6.20) 1...........................Software Loopback Interface 1 14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2 16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 4250 0.0.0.0 0.0.0.0 On-link 10.0.0.101 26 10.0.0.101 255.255.255.255 On-link 10.0.0.101 281 127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531 127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531 127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 178.21.112.105 255.255.255.255 192.168.1.1 192.168.1.2 4251 192.168.1.0 255.255.255.0 On-link 192.168.1.2 4506 192.168.1.2 255.255.255.255 On-link 192.168.1.2 4506 192.168.1.255 255.255.255.255 On-link 192.168.1.2 4506 224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531 224.0.0.0 240.0.0.0 On-link 192.168.1.2 4507 224.0.0.0 240.0.0.0 On-link 10.0.0.101 26 255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 255.255.255.255 255.255.255.255 On-link 192.168.1.2 4506 255.255.255.255 255.255.255.255 On-link 10.0.0.101 281 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию =========================================================================== IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 13 58 ::/0 On-link 1 306 ::1/128 On-link 13 58 2001::/32 On-link 13 306 2001:0:5ef5:73bc:28ea:30f0:3f57:fefd/128 On-link 13 306 fe80::/64 On-link 13 306 fe80::28ea:30f0:3f57:fefd/128 On-link 1 306 ff00::/8 On-link 13 306 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует >tracert -d 8.8.8.8 Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30 1 101 ms 99 ms 99 ms 10.0.0.100 2 * * * Превышен интервал ожидания для запроса. 3 ^C таблица с сервера при подключенном клиенте [root@xxxx shorewall]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.101 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 178.21.xxx.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 178.21.xxx.1 0.0.0.0 UG 0 0 0 eth0 Ссылка на сообщение Поделиться на других сайтах
gall 6 Опубліковано: 2010-08-01 07:40:18 Автор Share Опубліковано: 2010-08-01 07:40:18 Сегодня ночью подгадал момент простоя сервера и положил сервисы service shorewall stop, service iptables stop после этого iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE и нифига, все стает колом на шлюзе. как ни крути дальше сервера ничего не пускает. ну пожалуйста подкиньте мыслей, я уверен что проблемая мелкая... но блин в глаза не бросается.. хоть тресни ---- попробовал еще tcpdump -i ppp0 [root@vps554 ppp]# cat out.ppp 09:39:29.915262 IP 10.0.0.101.65404 > google-public-dns-a.google.com.domain: 26979+ A? teredo.ipv6.microsoft.com. (43) 09:39:30.355256 IP 10.0.0.101.56407 > google-public-dns-a.google.com.domain: 20867+ A? www.msftncsi.com. (34) 09:39:33.915247 IP 10.0.0.101.65404 > google-public-dns-a.google.com.domain: 26979+ A? teredo.ipv6.microsoft.com. (43) 09:39:34.355256 IP 10.0.0.101.56407 > google-public-dns-a.google.com.domain: 20867+ A? www.msftncsi.com. (34) 09:39:34.415285 IP 10.0.0.101.52713 > google-public-dns-a.google.com.domain: 1+ PTR? 8.8.8.8.in-addr.arpa. (38) 09:39:36.415262 IP 10.0.0.101.62879 > google-public-dns-a.google.com.domain: 2+ A? mail.ru. (25) 09:39:37.915262 IP 10.0.0.101.57147 > google-public-dns-a.google.com.domain: 43359+ A? teredo.ipv6.microsoft.com. (43) 09:39:38.425269 IP 10.0.0.101.52912 > google-public-dns-a.google.com.domain: 3+ AAAA? mail.ru. (25) 09:39:38.915260 IP 10.0.0.101.57147 > google-public-dns-a.google.com.domain: 43359+ A? teredo.ipv6.microsoft.com. (43) 09:39:39.915255 IP 10.0.0.101.57147 > google-public-dns-a.google.com.domain: 43359+ A? teredo.ipv6.microsoft.com. (43) 09:39:40.425249 IP 10.0.0.101.51954 > google-public-dns-a.google.com.domain: 4+ A? mail.ru. (25) 09:39:41.915272 IP 10.0.0.101.57147 > google-public-dns-a.google.com.domain: 43359+ A? teredo.ipv6.microsoft.com. (43) 09:39:42.425263 IP 10.0.0.101.60585 > google-public-dns-a.google.com.domain: 5+ AAAA? mail.ru. (25) 09:39:45.915271 IP 10.0.0.101.57147 > google-public-dns-a.google.com.domain: 43359+ A? teredo.ipv6.microsoft.com. (43) в это время на винде C:\Windows\system32>nslookup mail.ru DNS request timed out. timeout was 2 seconds. ╤хЁтхЁ: UnKnown Address: 8.8.8.8 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса UnKnown Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас