С веб интерфейсом разобрался, стоило правильно порт открыть..
Code:iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
С веб интерфейсом разобрался, стоило правильно порт открыть..
Code:iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.38.25 -j ACCEPT
Удали ето правило.
Проверь ping 8.8.8.8 (что нибудь по IP адресу), если есть ответ значит проблема в днс. Днс пропиши любой общедоступный (OpenDNS, UltraDNS, googleDNS).
Во-первых, присоединяюсь к TheSAS.
Во-вторых, "пользоваться роутером" и "пользоваться интернетом через роутер" - разные вещи. Мы тут пытаемся сделать второе, поэтому используем цепочку FORWARD.
И кстати, общее замечание: у вас слишком много вопросов, давайте последовательно их решать. Сначала просто интернет через роутер.
Пропишите в post-firewall следующее (после !#/bin/sh):
Сохраните, перезагрузите роутер и выполнитеCode:index=`iptables -L FORWARD -nv --line-numbers | grep 'RELATED,ESTABLISHED' | cut -d ' ' -f 1 -s`
iptables -I FORWARD $((index+1)) -o ppp0 -i vlan1 -j ACCEPT
iptables -I FORWARD $((index+2)) -o vlan1 -i vlan1 -j ACCEPT
Затем покажите результат. А друг после этого пусть попробует, как уже было сказано ранее, попинговать что-нибудь по IP-адресу (что-нибудь из внешнего мира, что отвечает на пинги).Code:iptables-save
Вот таблица, извеняюсь что долго не писал у провайдера проблемы были..
Все заработало включая сайты и ДНС пашет, Огромное человеческое спасибо!Code:# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:58 2010
*nat
:PREROUTING ACCEPT [216244:22467642]
:POSTROUTING ACCEPT [7828:450649]
:OUTPUT ACCEPT [6332:402623]
:VSERVER - [0:0]
-A PREROUTING -d 10.201.1.201 -j VSERVER
-A PREROUTING -d 192.168.38.37 -j VSERVER
-A PREROUTING -i vlan1 -p tcp -m tcp --dport 3128 -j DNAT --to-destination 192.168.1.1:3128
-A POSTROUTING -s ! 10.201.1.201 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 192.168.38.37 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.1.1:8080
-A VSERVER -p tcp -m tcp --dport 35382 -j DNAT --to-destination 192.168.1.216:35382
-A VSERVER -p udp -m udp --dport 35382 -j DNAT --to-destination 192.168.1.216:35382
-A VSERVER -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p udp -m udp --dport 8085 -j DNAT --to-destination 192.168.1.216:8085
-A VSERVER -p tcp -m tcp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p udp -m udp --dport 1080 -j DNAT --to-destination 192.168.1.216:1080
-A VSERVER -p tcp -m tcp --dport 1024 -j DNAT --to-destination 192.168.1.216:1024
-A VSERVER -p udp -m udp --dport 1024 -j DNAT --to-destination 192.168.1.216:1024
-A VSERVER -p udp -m udp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
-A VSERVER -p tcp -m tcp --dport 33977 -j DNAT --to-destination 192.168.1.216:33977
COMMIT
# Completed on Sun Jul 11 12:50:59 2010
# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:59 2010
*mangle
:PREROUTING ACCEPT [5978674:2023421474]
:INPUT ACCEPT [1696159:449765392]
:FORWARD ACCEPT [4225663:1560110086]
:OUTPUT ACCEPT [2527951:1100940576]
:POSTROUTING ACCEPT [7048694:2676444710]
COMMIT
# Completed on Sun Jul 11 12:50:59 2010
# Generated by iptables-save v1.2.7a on Sun Jul 11 12:50:59 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [276328:17934923]
:OUTPUT ACCEPT [2478046:1092177592]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j SECURITY
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d 192.168.1.1 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 515 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3838 -j ACCEPT
-A INPUT -j DROP
-A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -d 192.168.1.216 -p tcp -m tcp --dport 33977 -j ACCEPT
-A FORWARD -d 192.168.1.216 -p udp -m udp --dport 33977 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan1 -o ppp0 -j ACCEPT
-A FORWARD -i vlan1 -o vlan1 -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -i ! br0 -m state --state NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Sun Jul 11 12:50:59 2010
Если вам не сложно подскажите как мне ограничить доступ только для друга, и еще есть ли возможность что провайдер как то поймет что я поступаю нечестно, и если есть то как с этим бороться?
Я так предпологаю, что провайдер таки может увидеть что пакеты адресованы к человеку из его сети от меня и поругаться, хотя может я и не прав..
Подскажите, пожалуйста, где можно почитать как поднять OpenVPN сервер на роутере?
iptables -I FORWARD $((index+1)) -s 192.168.38.25 -o ppp0 -i vlan1 -j ACCEPT
Провайдер скорее всего никак не обнаружит такое расшаривание.
Если работает, то и будет работать. Если захотят обнаружить, или именно ты раздаешь инет своему другу, то обнаружат )
Помогите советом. Есть локальная сеть предприятия с ip 10.80.203.* c маской 255.255.255.0 и ADSL модем с ip 192.168.0.1 по которому приходит интернэт. по ip адресу 10.80.203.15 находится прокси реализованный на UserGete 4. Как реализовать на ASUS w500gPv2 функцию UserGate чтобы сохранить доступ к локальным адресам и так же работу с интернетом.
Приветствую собравшуюсю аудиторию.
У меня провайдер от корого я получаю инет чере pptp соединение все нормально.
Я хочу настроить подключение к инету моих родственников через меня, чтобы не платить дважды.
В наличии Asus N16, какие деи и предложения?
Я представялю это следующим образом.
НА n16 настраивается vpn сервер и уже пользователи из локальной сети провайдера ко мне подключаеюся и я им даю инет.
в конец народ обленился,Quote:
В наличии Asus N16, какие деи и предложения?
на 10 топиков ранее всё по полкам разложено,
что и как делать!
и не имеет значения какой у вас роутер, соединение и прочая лабуда.
Доброго!
Сложилась такая ситуация, что провайдер оставляет на Новый Год без интернета в связи с работами на биллинге (не может оформить подключение). Соответственно, вся надежда на товарища в этой-же сети, что бы подключиться к интернету через него.
Конфигурация
Клиент 1: 10.1.12.21 (255.255.255.0), GW 10.1.12.1, WL500G, PPPoP - логин, пароль, хост, интернет есть :)
Клиент 2: 10.1.24.42 (255.255.255.0), GW 10.1.24.1, Linksys E2500, интернета нет :(
Возможность связи между этими клиентами не исследовалась, но предположим, что она есть (не думаю, что провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов).
Что пришло в голову:
1. Поставить на WL500G (10.1.12.21) небольшой прокси (какой?) с авторизацией (ну или без оной), в настройках браузера поставить 10.1.12.21:8080, на Linksys настроить маршрут 10.1.12.21 -> 10.1.24.1 и ждать ответа.
2. Туннель (тут я плаваю). Вроде через openvpn + роутинги. Т.е. поставить на WL500G (10.1.12.21) openvpn сервер (добавляется новый интерфейс, как я понимаю) и все с него зароутить на GW, который выдает провайдер после PPPoP подключения. На Linksys, соответственно, openvpn клиент (+интерфейс) и весь трафик зароутить на него...
В каком направлении копать порекомендуете?
Спасибо,
Саша
Таки перекрыл:Quote:
провайдер перекрыл доступ на внутренних роутерах для неавторизированных клиентов
Code:[admin@WL500 root]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
...
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
10.151.12.0 * 255.255.255.0 U 0 0 0 vlan1
10.151.24.0 10.151.12.1 255.255.255.0 UG 1 0 0 vlan1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.151.12.1 0.0.0.0 UG 1 0 0 vlan1
[admin@WL500 root]$ ping 10.151.24.1
PING 10.151.24.1 (10.151.24.1): 56 data bytes
84 bytes from 10.151.24.1: icmp_seq=0 ttl=254 time=241.7 ms
84 bytes from 10.151.24.1: icmp_seq=1 ttl=254 time=8.3 ms
--- 10.151.24.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 8.3/125.0/241.7 ms
[admin@WL500 root]$ ping 10.151.24.42
PING 10.151.24.42 (10.151.24.42): 56 data bytes
--- 10.151.24.42 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
Ну это как-бы логично, но ещё нужно и у источника указать куда какие пакеты пихать.
Ситуация в общем приблизительно аналогичная. Пробую раздать PPP0 инет самому себе с одной квартиры на другую. Естественно локальные сегменты разные.
Например раздающий роутер на 10.1.1.1 (ppp0 172.4.4.4, br0 192.168.1.x) а принимающий на 10.2.2.2 (br0 192.168.1.x).
Вышеприведённую строку записываю в post-firewall в iptables изменения появляются, но вполне естественно ничего не работает.
Принимающему нужно указать что пакеты адресованные не на 10.х.х.х и не на 192.168.1.х нужно отNATит и отослать прямиком на 10.1.1.1, а тот в соответствии с вышеведенным правилом перенаправится в PPP0.
ОДНАКО! как указать раздающему чтобы он отсылал приходяшие с PPP0 пакеты не только к себе в br0, но ещё и принимающему. Мне кажется в любом случае будет бардак.
Немного лирики. Сижу у провайдера интерсвязь, как и многие мои знакомые))) платим по 500р в месяц, несправедливо :rolleyes:
У меня есть роутер dir-320 с прошивкой от олега (теоретически если все заработает, можно поменять на более производительный)
Идея настроить этот роутер так, чтобы он через одно pptp-анлим соединение пускал всех товарищей 10.х.х.х(5-7чел) в интернет ну и меня из внутреней сети роутера 192.х.х.х
провайдер дает динамический адрес wan 10.х.х.х (есть внутрений дднс, спасет я думаю)на роутере поднимается соединение pptp. А как дальше быть не понятно.
Attachment 9519
Прокси не подходит, из за кривости работы приложений.
Установить в настройках товарищей гейт и днс не провайдера а роутера? чот не оч хочет работать. да и динамический ип замучаешься менять, по крайне мере я не понял, как можно имя хоста, засунуть в винду.
Или заморочится с openVPN.
Курю тему http://wl500g.info/showthread.php?88...C8%D7%CA%CE%C2
настройки сомого роутера из для провайдера. http://www.is74.ru/support/manuals/w...rase_id=348730
Помогите пожалуйста. разобратся, настроить это все.
Ню вот openvpn поставил из скрипта для чайников http://rung.narod.ru/man.htm
По опенвпну столько много поискового шума, что пока непонятно что с ним дальше делать(