OpenVPN
Капаю по данной теме и все безтолку.
Конкретизирую что есть
wl1:
WAN - pptp,
man - 10.2.203.38 mask 255.255.255.0 gw 10.2.203.1
lan - 192.168.0.1 mask 255.255.255.0
добавил в нем следующий маршрут:wl2:Code:route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.2.203.44
WAN - pptp,
man - 10.2.203.44 mask 255.255.255.0 gw 10.2.203.1
lan - 192.168.2.1 mask 255.255.255.0
добавил в нем следующий маршрут:С первого начал пинговаца второй по внутреннему адресуCode:route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.2.203.38
([admin@wl1 root] ping 192.168.2.1 работает).
Со второго соотведственно начял пинговаца первый.
([admin@wl2 root] ping 192.168.0.1 работает).
Но вот компы в сетке не пингуются.
Проверяю пингос со второго роутера комп из первой сетки
([admin@wl2 root] ping 192.168.0.2 Не работает).
Понимаю что дето нужно в iptables чегото прописать, но что - я ненаю
Подскажите плз.
Или хотя бы примерную ссылку, где это описывается.
может надо фаервол подкрутить?
А на самих компах локалок маршруты прописаны?
Т.е. для компов сети 192.168.0.хх необходимо выполнить что-то типа
route add -P 192.168.2.0 255.255.255.0 192.168.0.1
а для компов сети 192.168.2.хх -
route add -P 192.168.0.0 255.255.255.0 192.168.2.1
Иначе ни пинги не будут до них доходить (вернее - приходить ответы на них) ни все остальное...
На всех компах шлюз по-умолчянию - соотведствующий роутер.
Комп отправляет все пакеты, которые не для его локальной сети на роутер, а вот роутер разбирается что с ним сделать(переслать или замаскарадить) и куда далее зашуровать.
Стопудова нуна подкручивать фаервол, я это нюхом чую, но как, в этом то и вапрос.
Возможно нужно просто разрешить пакеты, вазможно маскарадинг
но нито не другое я незнаю как сделать. Чяйник я в iptables .... ((
Ну с собакой вы конечно загнули, но попробовать помочь могу.
Я думаю у всех выставлен пункт Internet Firewall => WAN & LAN Filter => Packets(WAN to LAN) not specified will be: в положении DROP? Вот тут то и режутся пакеты при входящей маршрутизации. Этот пункт мы трогать небудем а просто попробуем прописать в iptables несколько правил:
- Для роутера с ip 192.168.0.1
Code:# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака. iptables -I FORWARD -i vlan1 -o br0 -d 192.168.0.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT # На случай, если кто до роутера захочет докопатся iptables -I FORWARD -i vlan1 -d 192.168.0.1 -j DROP # Правила нужно прописывать именно в этой последовательности- Для роутера с ip 192.168.2.1
Code:# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака. iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT # На случай, если кто до роутера захочет докопатся iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP # Правила нужно прописывать именно в этой последовательности
Конечно для лучшей производительности нужно в конец таблицы правила писать, но это мелочи оптимизации.
Еще беда в том что сети за роутером получаются незащищенными из вне. То есть любой прописав по аналогии маршрутизацию попадет во внутреннюю сеть. Лучшее решение здесь VPN. Хотя производительности будет намного меньше.
Эти измышления чисто теоретические, в практике не уверен, но по идее должно помочь.
Дело в том, что в сетке, которая снаружи, присудствует защита по макам, и если ктото се поменяю мак или ip то его тутже вырубают из сети на маршрутезаторе. Так что проблемы в том, что ктота поставит се такой же мак как на одном из роутеров, просто нету.
Пока не проверил, но всеравно пасибо за хелп.
Попытался разобраться в пределах своих чайниковых познаний в этих правилах. Насколько я понял, то правило, которое у нас "# Разрешаем проходящие пакеты..." - форвардит(роутит) на интерфейс br0 (LAN) пакеты, пришедшие на интерфейс vlan1 (WAN) с адресов заданной сети и с заданного мак-адреса. А как быть с исходящими пакетами из LAN в WAN? Разве для этого не нужно создавать правило типа:
?Code:iptables -I FORWARD -i br0 -o vlan1 -d 192.168.2.0/24 -j ACCEPT