Сервер (хаб) ДЦ, с которым вы соединяетесь, находится в локалке или интернете?
Если можно, выложите сюда вывод команд "route -n" и "iptables-save" с роутера в тот момент, когда впн работает. И дайте пример адреса хаба ДЦ, с которым соединяетесь.
"route -n"
iptables-saveKernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
89.105.128.75 10.17.28.1 255.255.255.255 UGH 0 0 0 vlan1
89.105.128.66 10.17.28.1 255.255.255.255 UGH 0 0 0 vlan1
89.105.128.66 10.17.28.1 255.255.255.255 UGH 1 0 0 vlan1
89.105.128.67 10.17.28.1 255.255.255.255 UGH 0 0 0 vlan1
89.105.128.67 10.17.28.1 255.255.255.255 UGH 1 0 0 vlan1
89.105.128.68 10.17.28.1 255.255.255.255 UGH 0 0 0 vlan1
89.105.128.7 10.17.28.1 255.255.255.255 UGH 1 0 0 vlan1
89.105.128.64 10.17.28.1 255.255.255.192 UG 0 0 0 vlan1
10.17.28.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
10.0.0.0 10.17.28.1 255.192.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 89.105.130.116 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 10.17.28.1 0.0.0.0 UG 1 0 0 vlan1
Пример: dc.krasfiles.ru - хаб находится в пиринге# Generated by iptables-save v1.2.7a on Tue Oct 14 19:28:13 2008
*nat
:PREROUTING ACCEPT [389:56701]
:POSTROUTING ACCEPT [265:15799]
:OUTPUT ACCEPT [249:14945]
:VSERVER - [0:0]
-A PREROUTING -d 172.31.139.97 -j VSERVER
-A PREROUTING -d 10.17.28.38 -j VSERVER
-A PREROUTING -d 172.31.139.97 -p udp -m udp --sport 6112 -j NETMAP --to 192.168.1.0/24
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -p udp -m udp --dport 6112 -j NETMAP --to 172.31.139.97/32
-A POSTROUTING -s ! 172.31.139.97 -o ppp0 -j MASQUERADE
-A POSTROUTING -s ! 10.17.28.38 -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -j DNAT --to-destination 192.168.1.2
COMMIT
# Completed on Tue Oct 14 19:28:13 2008
# Generated by iptables-save v1.2.7a on Tue Oct 14 19:28:13 2008
*mangle
:PREROUTING ACCEPT [13322:8787220]
:INPUT ACCEPT [8476:4802341]
:FORWARD ACCEPT [4692:3957053]
:OUTPUT ACCEPT [7008:1118728]
:POSTROUTING ACCEPT [13008:5560311]
COMMIT
# Completed on Tue Oct 14 19:28:13 2008
# Generated by iptables-save v1.2.7a on Tue Oct 14 19:28:13 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [44:2288]
:OUTPUT ACCEPT [6822:1024733]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o ppp0 -j DROP
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Tue Oct 14 19:28:13 2008
ЗЫ Serge_K ставил так, без изменений.
Если я правильно понял, IP-адрес этого хаба = 217.117.187.75, а в пиринге = в локальной сети. Но если так, то я не вижу маршрута к нему через локалку в таблице маршрутизации. У вас точно на странице "IP Config - Route" в поле Use DHCP routes? выбрано Yes ?
Далее, я бы посоветовал на странице "NAT Setting - Virtual DMZ" выбрать No в поле Starcraft(Battle.Net) (если вы, конечно, не уверены на 100%, что оно вам нужно) а также очистить поле IP Address of Exposed Station.
На странице "NAT Setting - Virtual Server" прописать отдельные правила для форварда портов ДЦ, как на скриншоте из первого поста (не забыть Enable Virtual Server? - Yes). Советы: если Port Range состоит из одного порта, не нужно писать "4769:4769", достаточно просто "4769"; а если Local Port к тому же с ним совпадает, то этот самый Local Port можно оставить пустым.
Ещё: я исправил сообщение http://wl500g.info/showpost.php?p=115230&postcount=11. Провайдер выдаёт вам адрес 172.31.139.* (или похожий). Такой адрес является "приватным" и не может быть виден из интернета. Отсюда и несовпадение вашего адреса и того адреса, под которым вас видит сервер на скриншоте (я так понимаю, вы на этом сервере проверяли). Соответственно, проверка на открытие портов с помощью внешнего сервера становится бессмысленной, вам надо проверять это внутри сети (попросить кого-то подключиться к вам и т.п.).
не знаю как ты локалку к городу прировнял. Локалка это до поднятия впн, локалка сетки (в моем случае vzletka.net) и адрес выдается 10.17.28.*.
Use DHCP routes? - yes
DMZ:
IP Address of Exposed Station -чистый
Starcraft(Battle.Net) - отменил выбор
Порт форвардинг настроил.
В ДС WAN ип поставил local IP address 172.31.139.* ну и ессно порты которые в порт форвардинге прописал.
Итог такой: ВПН перестал вылетать, но теперь не пашет поиск.
ЗЫЖ Вообщем откуда ушел к тому и вернулся.
ЗЫЖЖ Может в таблице маршрутизации вбить маршруты еще какие-то? Админы нашей сети вроде не очень любят разглашать инфо о маршрутах. Узнать Таблицу маршрутизации, не звоня админу, можно както узнать?
Ладно, спрошу по-другому: DC++ может работать без поднятия VPN? Или же он работает поверх VPN?
А если кабель от провайдера подключить напрямую к компу и настроить соединение, будет ДЦ работать? Кстати, в этом случае можно посмотреть таблицу маршрутизации на компе и сравнить.
Нет, без поднятия VPN дс не будет работать. Пиринг, это тотже инет, но для нас по другой цене нежели инет.
Если на прямую, не через железку все прекрасно работает. Дс там тоже на пряму.
Что-то про то чтоб маршруты сравнить и не додумал
Теперь и отваливается впн..
ЗЫЖ Что мне так не везет-то
совсем никто не сталкивался с проблемой?
Выложите сюда вывод iptables-save при указанных настройках.
А комп, на который порты форвардятся, адрес от роутера по dhcp получает?
Этот комп перезагружали после изменения настроек роутера?
Power, спасибо за отклик.
Вообще ситуация такая: Имеется шлюз и роутер на WL500gP (192.168.24.1). DHCP на нем включен для адресов *.10 - *.254.
БОльшая часть компов в LAN прописана статически. Все работают нормально.
Имеется второй роутер в этой же сетке WL520gU (192.168.24.2). На нем DHCP отключен.
Из WAN можно заходить в LAN через первый роутер и не получается через второй. Клиентские компы можно перезагрузить, но ситуация не меняется.
Насчет "выложите сюда вывод iptables-save" мне нужно осознать и найти, где почитать (пардон за безграмотность). Настраиваю все по-простому - через web-интерфейс.
Last edited by ulo; 14-10-2008 at 22:03.
Вот таблица маршрутов полученная при соединении на прямую не через роутер..
Вроде получилось наладить ДС, Пользовался http://wl500g.info/showpost.php?p=23823&postcount=4IPv4 таблица маршрута
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.17.28.1 10.17.28.38 4245
0.0.0.0 0.0.0.0 On-link 172.31.139.97 21
10.0.0.0 255.192.0.0 10.17.28.1 10.17.28.38 4246
10.17.28.0 255.255.255.0 On-link 10.17.28.38 4501
10.17.28.38 255.255.255.255 On-link 10.17.28.38 4501
10.17.28.255 255.255.255.255 On-link 10.17.28.38 4501
89.105.128.13 255.255.255.255 10.17.28.1 10.17.28.38 4246
89.105.128.64 255.255.255.192 10.17.28.1 10.17.28.38 4246
89.105.128.66 255.255.255.255 10.17.28.1 10.17.28.38 4246
89.105.128.67 255.255.255.255 10.17.28.1 10.17.28.38 4246
89.105.128.68 255.255.255.255 10.17.28.1 10.17.28.38 4246
89.105.128.75 255.255.255.255 10.17.28.1 10.17.28.38 4246
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
172.31.139.97 255.255.255.255 On-link 172.31.139.97 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 10.17.28.38 4504
224.0.0.0 240.0.0.0 On-link 172.31.139.97 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 10.17.28.38 4501
255.255.255.255 255.255.255.255 On-link 172.31.139.97 276
================================================== =========================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
Еще поменял ип маршрутизатора, и присвоил компу ип, на котором ДС 192.168.1.1 (в какойто теме попадоль что на WL-520GU были баги с нерабочим Virtual server).
НО!!!! Появилась еще проблема, когда делаешь поиск в ДС и искомый файл у большого кол-ва народа (т.е. очень большой список найденного) ВПН соединение виснет намертво. с небольшим числом файлов все гуд. Спустя некоторое время после зависания, в логе вот что:
pppd[104]: No response to 6 echo-requests
А WL520gU поключен к wan совершенно отдельно от WL500gP или через него или как-то параллельно? Т.е. что значит "в этой же сетке"?
Можно зайти по telnet и выполнить в консоли, а можно просто на странице http://my.router/Main_AdmStatus_Content.asp (адрес роутера подставьте свой).
в смысле в одной подсетке и в WAN, и в LAN:Originally Posted by Power
WL500gP имеет WAN x.y.z.21, LAN 192.168.24.1
WL520gP имеет WAN x.y.z.22, LAN 192.168.24.2
Спасибо за ссылку, уже нашел, что почитать, но нужно время.Originally Posted by Power
Ниже - iptables-save для WL520gU. Надеюсь, с содержимым тоже сам разберусь, но, видимо, не сразу.
Поэтому, если увидите нечто вопиющее и подскажете, буду очень признателен.
Интерес представляет сервис RDP (две последние строчки в NAT,
остальные, похоже, остатки от предыдущих настроек, т.к. в web-интерфейсе на Virtual Server их не видно).
========================
# Generated by iptables-save v1.2.7a on Wed Oct 15 14:25:07 2008
*nat
:PREROUTING ACCEPT [7636:922384]
:POSTROUTING ACCEPT [5905:353607]
:OUTPUT ACCEPT [5704:348632]
:VSERVER - [0:0]
-A PREROUTING -d WAN_address -j VSERVER
-A POSTROUTING -s ! WAN_address -o vlan1 -j MASQUERADE
-A POSTROUTING -s 192.168.24.0/255.255.255.0 -d 192.168.24.0/255.255.255.0 -o br0 -j MASQUERADE
-A VSERVER -p tcp -m tcp --dport 49080 -j DNAT --to-destination 192.168.24.2:80
-A VSERVER -p tcp -m tcp --dport 63191 -j DNAT --to-destination 192.168.24.31:63190
-A VSERVER -p udp -m udp --dport 63191 -j DNAT --to-destination 192.168.24.31:63190
-A VSERVER -p udp -m udp --dport 19106 -j DNAT --to-destination 192.168.24.61:19106
-A VSERVER -p tcp -m tcp --dport 19106 -j DNAT --to-destination 192.168.24.61:19106
-A VSERVER -p tcp -m tcp --dport 11242 -j DNAT --to-destination 192.168.24.61:11242
-A VSERVER -p udp -m udp --dport 11242 -j DNAT --to-destination 192.168.24.61:11242
-A VSERVER -p tcp -m tcp --dport 63190 -j DNAT --to-destination 192.168.24.31:63190
-A VSERVER -p udp -m udp --dport 63190 -j DNAT --to-destination 192.168.24.31:63190
-A VSERVER -p tcp -m tcp --dport 63192 -j DNAT --to-destination 192.168.24.49:63190
-A VSERVER -p udp -m udp --dport 63192 -j DNAT --to-destination 192.168.24.49:63190
-A VSERVER -p tcp -m tcp --dport 49160 -j DNAT --to-destination 192.168.24.60:3389
-A VSERVER -p tcp -m tcp --dport 49124 -j DNAT --to-destination 192.168.24.24:3389
COMMIT
# Completed on Wed Oct 15 14:25:07 2008
# Generated by iptables-save v1.2.7a on Wed Oct 15 14:25:07 2008
*mangle
:PREROUTING ACCEPT [141653:30467643]
:INPUT ACCEPT [138591:30118877]
:FORWARD ACCEPT [593:30572]
:OUTPUT ACCEPT [98788:18714061]
:POSTROUTING ACCEPT [128010:29441401]
COMMIT
# Completed on Wed Oct 15 14:25:07 2008
# Generated by iptables-save v1.2.7a on Wed Oct 15 14:25:07 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [98744:18695774]
:MACS - [0:0]
:SECURITY - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j ACCEPT
-A INPUT -d 192.168.24.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ! br0 -o vlan1 -j DROP
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A SECURITY -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT
# Completed on Wed Oct 15 14:25:07 2008
========================
Last edited by ulo; 15-10-2008 at 15:58.