Не раздается интернет, на платформе OpenSuse

[kai]

Настроил вроде бы все правильно, по впн соединение есть, а интернета нету, в какую сторону копать ... ???

[ran]

Настроил вроде бы все правильно, по впн соединение есть, а интернета нету, в какую сторону копать ... ???

в сторону изучения основ сетевых технологий... а если хочешь более конкретных ответов - приводи более конкретные вопросы

ЗЫ: у меня под оупенсюзей 10.3 сервер пашет уже годика 3... или 4 - непомню - склероз

[kai]

значет так, настроил я все по этой сцылке http://www.volmed.org.ru/wiki/index.php ... .D0.B5_NAS
в моем случае будет использоватся VPN авторизация, IP авторизация с помошью модуля ipn, и еще нужно сделать так чтоб клиент откривает браузер и ему ваваливается окно авторизации....

по ВПН клиент подключается, но инет не получат тарифный план на него создан, тоже самое и с модулем IPN, айпиху прописал, мок ввел, а клиент в инет не входит, что делать не знаю

система suse 11.00 abills 0.41b freeradius 2.0.5

[NiTr0]

В /etc/sysctl.conf строка net.ipv4.ip_forward = 1 есть?

[kai]

неа нету,
попробую добавить

Код: Выделить всё

sysctl.conf        
# Disable response to broadcasts.
# You don't want yourself becoming a Smurf amplifier.
net.ipv4.icmp_echo_ignore_broadcasts = 1
# enable route verification on all interfaces
net.ipv4.conf.all.rp_filter = 1
# enable ipV6 forwarding
#net.ipv6.conf.all.forwarding = 1
# increase the number of possible inotify(7) watches
fs.inotify.max_user_watches = 65536
# avoid deleting secondary IPs on deleting the primary IP
net.ipv4.conf.default.promote_secondaries = 1
net.ipv4.conf.all.promote_secondaries = 1

[kai]

В suse перенаправление между сетками проводится нимного не так, нужно в /etc/sysconfig/sysctl в строке ip_forward поставить значение YES

[ran]

В suse перенаправление между сетками проводится нимного не так, нужно в /etc/sysconfig/sysctl в строке ip_forward поставить значение YES

а yast в сюзе ваще-та для кого деланный?

[kai]

А может проблемма в том что в водуле ИПН в строке $conf{IPN_FW_START_RULE}=»« нужно писать

»/usr/bin/sudo /sbin/iptables -t nat -I PREROUTING 1 -s %IP/%MASK -j ACCEPT;
/usr/bin/sudo iptables -I FORWARD 1 -s %IP -d 0/0 -j ACCEPT;
/usr/bin/sudo iptables -I FORWARD 1 -s 0/0 -d %IP -j ACCEPT»;

а я использую фаервол вместо иптаблеса ??

[ran]

а я использую фаервол вместо иптаблеса ??

а в линухе в принципе существует како-то другой файервол кроме иптейбла??? не знал...

всё остальное - только надстройки над иптеблом... а если имеется в виду сюзефайервол2 - то у него есть и всякие хуки... вот здесь /etc/sysconfig/scripts/SuSEfirewall2-custom

и если уж его юзаешь то нада разобраться с этим...

а ваще ежли не секрет у тебя чистый ипн или в связке с туннелями? а то с ясновидением у меня полследнее время что-то не того...

[kai]

мне нужно чтоб работал и чистый ИПН и ВПН, вот сегоня полностью лег предыдуший билинг, и не знаю куда кидатся, по ВПН подключается но инет не идет, я просто не знаю в какую сторону копать, может подскажешь а ?? какой конфиг выложить какой лог показать ??

[ran]

Код: Выделить всё

iptables-save

в студию

[kai]

Код: Выделить всё

proxy:~ # iptables-save
# Generated by iptables-save v1.4.0 on Mon Sep 28 09:45:43 2009
*mangle
:PREROUTING ACCEPT [49264846:35533199680]
:INPUT ACCEPT [4103498:342408091]
:FORWARD ACCEPT [44967441:35170065677]
:OUTPUT ACCEPT [1617070:112000405]
:POSTROUTING ACCEPT [46591638:35288583105]
COMMIT
# Completed on Mon Sep 28 09:45:43 2009
# Generated by iptables-save v1.4.0 on Mon Sep 28 09:45:43 2009
*nat
:PREROUTING ACCEPT [2536986:198370270]
:POSTROUTING ACCEPT [69417:8183021]
:OUTPUT ACCEPT [54799:7601681]
-A POSTROUTING -o dsl0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o pan0 -j MASQUERADE
-A POSTROUTING -o sl0 -j MASQUERADE
COMMIT
# Completed on Mon Sep 28 09:45:43 2009
# Generated by iptables-save v1.4.0 on Mon Sep 28 09:45:43 2009
*filter
:INPUT DROP [9:976]
:FORWARD DROP [14:11022]
:OUTPUT ACCEPT [1:40]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth1 -j input_int
-A INPUT -i dsl0 -j input_ext
-A INPUT -i eth0 -j input_ext
-A INPUT -i pan0 -j input_ext
-A INPUT -i sl0 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m physdev  --physdev-is-bridged -j ACCEPT
-A FORWARD -i eth1 -j forward_int
-A FORWARD -i dsl0 -j forward_ext
-A FORWARD -i eth0 -j forward_ext
-A FORWARD -i pan0 -j forward_ext
-A FORWARD -i sl0 -j forward_ext
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_ext -i dsl0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i pan0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i sl0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -s 192.168.0.0/24 -d 195.189.234.99/32 -p tcp -m limit --limit 3/min -m tcp --dport 0 -m state --state NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_ext -s 192.168.0.0/24 -d 195.189.234.99/32 -p tcp -m tcp --dport 0 -j ACCEPT
-A forward_ext -s 195.189.234.99/32 -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -s 192.168.0.0/24 -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 0 -m state --state NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_ext -s 192.168.0.0/24 -d 192.168.0.2/32 -p tcp -m tcp --dport 0 -j ACCEPT
-A forward_ext -s 192.168.0.2/32 -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m pkttype --pkt-type multicast -j DROP
-A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_int -i eth1 -o dsl0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i eth1 -o pan0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i eth1 -o sl0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -s 192.168.0.0/24 -d 195.189.234.99/32 -p tcp -m limit --limit 3/min -m tcp --dport 0 -m state --state NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_int -s 192.168.0.0/24 -d 195.189.234.99/32 -p tcp -m tcp --dport 0 -j ACCEPT
-A forward_int -s 195.189.234.99/32 -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_int -s 192.168.0.0/24 -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 0 -m state --state NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options
-A forward_int -s 192.168.0.0/24 -d 192.168.0.2/32 -p tcp -m tcp --dport 0 -j ACCEPT
-A forward_int -s 192.168.0.2/32 -d 192.168.0.0/24 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_int -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m pkttype --pkt-type multicast -j DROP
-A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_int -j reject_func
-A input_ext -p udp -m pkttype --pkt-type broadcast -m udp --dport 137 -j ACCEPT
-A input_ext -p udp -m pkttype --pkt-type broadcast -m udp --dport 138 -j ACCEPT
-A input_ext -p udp -m pkttype --pkt-type broadcast -m udp --dport 67 -j ACCEPT
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p esp -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 1:65535 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 1:65535 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 80 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 443 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 3306 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 3306 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 21 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 20 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 20 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 139 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 445 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 445 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 21 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 40000:40500 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 40000:40500 -j ACCEPT
-A input_ext -p udp -m udp --dport 53 -j ACCEPT
-A input_ext -p udp -m udp --dport 4500 -j ACCEPT
-A input_ext -p udp -m udp --dport 500 -j ACCEPT
-A input_ext -p udp -m udp --dport 138 -j ACCEPT
-A input_ext -p udp -m udp --dport 137 -j ACCEPT
-A input_ext -p udp -m udp --dport 69 -j ACCEPT
-A input_ext -p udp -m udp --dport 443 -j ACCEPT
-A input_ext -p udp -m udp --dport 67 -j ACCEPT
-A input_ext -p udp -m udp --dport 20 -j ACCEPT
-A input_ext -p udp -m udp --dport 20 -j ACCEPT
-A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Mon Sep 28 09:45:43 2009

[ran]

*nat
:PREROUTING ACCEPT [2536986:198370270]
:POSTROUTING ACCEPT [69417:8183021]
:OUTPUT ACCEPT [54799:7601681]
-A POSTROUTING -o dsl0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o pan0 -j MASQUERADE
-A POSTROUTING -o sl0 -j MASQUERADE

ну с dsl0 ещё можно понять... а eth0, pan0 и sl0??? ето шо за ифейсы? они все внешние? и ты на них маскарадиш? дальше и смотреть не стал...

[gnomino]

Я не стал особо ничего мудрить, прописал в /etc/ppp/ip-up.local:

Код: Выделить всё

#! /bin/bash
IP=$5
/sbin/iptables -t nat -A PREROUTING  -s $IP -p tcp -m multiport --dport 80,8080 -j REDIRECT --to 127.0.0.1  --to-port 3128
/sbin/iptables -t nat -A POSTROUTING -s $IP -j MASQUERADE;

естественно в /etc/ppp/ip-down.local:

Код: Выделить всё

#! /bin/bash
IP=$5
/sbin/iptables -t nat -D PREROUTING -s $IP  -p tcp -m multiport --dport 80,8080 -j REDIRECT --to 127.0.0.1  --to-port 3128
/sbin/iptables -t nat -D POSTROUTING -s $IP -j MASQUERADE;

и все работает, первые строчки для прозрачного прокси.

[ran]

Я не стал особо ничего мудрить, прописал в /etc/ppp/ip-up.local:

Код: Выделить всё

#! /bin/bash
IP=$5
/sbin/iptables -t nat -A PREROUTING  -s $IP -p tcp -m multiport --dport 80,8080 -j REDIRECT --to 127.0.0.1  --to-port 3128
/sbin/iptables -t nat -A POSTROUTING -s $IP -j MASQUERADE;

естественно в /etc/ppp/ip-down.local:

Код: Выделить всё

#! /bin/bash
IP=$5
/sbin/iptables -t nat -D PREROUTING -s $IP  -p tcp -m multiport --dport 80,8080 -j REDIRECT --to 127.0.0.1  --to-port 3128
/sbin/iptables -t nat -D POSTROUTING -s $IP -j MASQUERADE;

и все работает, первые строчки для прозрачного прокси.

эххх... без прокси всё делается статическими правилами без всякой мозготы

Код: Выделить всё

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ppp+ -j ACCEPT

при условии, что политика в форварде дроп разумеется. Итеперь маскарадить можно (и нужно) всё что уходит на внешний ифейс

Код: Выделить всё

iptables -t nat - A POSTROUTING -o $EXT_IFACE -j MASQUERADE

А правило

/sbin/iptables -t nat -A PREROUTING -s $IP -p tcp -m multiport --dport 80,8080 -j REDIRECT --to 127.0.0.1 --to-port 3128

iptables ваще пошлёт нах как синтаксически неправильное, не свисти, что оно у тебя работает и ваще... можно ж хотя бы для ликбеза хотя бы это почитать, если уж языковый барьер не позволяет почитать man iptables... хотя админ без знания аглицкого - что евнух в гареме... а уж потом за биллинг браться...