Dotaz: propojení více síťí

Zdravím,
Mám hodně prekerní situaci:

eth0	ip4 WAN
th0:0	LAN	192.168.99.x
eth0:1	LAN 2	10.40.13x.x
sit1	ip6 WAN
tun5	LAN 3	x
tap0	VPN(openVPN)	192.168.0.x
ppp0	VPN(pptpd)	192.168.33.x

A teď bych potřeboval: pro: eth0:0, tap0 a ppp0 zpřístupnit: eth0, eth0:1 a tun5.
Dál bych potřeboval navzájem zpřístupnit síťě: ppp0, tap0 a eth0:0.
Pak bych chtěl pro eth0:0, ppp0 a tap0 zpřístupnit IPv6 tedy sit1, vím ale že openVPN ještě moc IPv6 nezná, tak s tímhle zatím moc nepočítám.
A na závěr bych chtěl chtěl udělat aby když na eth0 přijde nějaký paket třeba na hostname franta.mojedomena.cz tak aby se přesměroval na počítač X který je ve VPNce nebo LANce, a má můj server jako bránu. Ale s tímhle také moc nepočítám.
Hlavní je propojení těch LANek a VPNek a přístup k internetu z nich.
Přístup k internetu z LANek a VANek mám zatím přez iptables takhle: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Mám Linux Debian etch. Vím že to nebude lehké, a asi se to ani všechno nepovede.
Pokud ale víte něco co by mi mohlo pomost, budu rád za každý příspěvek, za každou radu. Díky moc..

Možná jsem neprokoukl, v čem spočívá ta prekérnost situace – ale nestačilo by prostě na počítačích v těch sítích nastavit správně výchozí bránu, a na tomto routeru (předpokládám, že výpis rozhraní je z jednoho routeru) správně nakonfigurovat směrování?

Doporučil bych řešení problému rozdělit na dvě části, IPv4 a IPv6.

Nejdřív IPv6: Jak je nakonfigurováno to rozhraní sit1? Jde o 6to4/6in4 adresy (začínající na 2002:) nebo "nativní" IPv6 adresy (začínající na cokoli, kromě 2002:)? Pokud jde o "nativní" IPv6 adresy, máte od poskytovatele (tunnel broker?) přidělen vlastní IPv6 /64, /56, /48 rozsah adres?

OpenVPN si s IPv6 rozumí pouze pokud používáte virtuální ethernet, tj. rozhraní tap.

Pokud budou splněny všechny podmínky (přidělený IPv6 rozsah adres), neměl by být problém na všechny tyto rozhraní nastavit IPv6 adresy a zapnout forwarding (echo 1 > /proc/sys/net/ivp6/conf/all/forwarding). Počítačům v síti pak nastavit jiné adresy z téhož rozsahu, jako má adekvátní zařízení, nastavit výchozí bránu a mělo by to fungovat.

Tj. např. mám od poskytovatele přidělený rozsah 2001:0db8:2540::/48, pak rozhraní nastavím následovně:

eth0:0     2001:0db8:2540:1::1/64
eth0:1     2001:0db8:2540:2::1/64
tap0       2001:0db8:2540:3::1/64
ppp0       2001:0db8:2540:4::1/64 (ovšem nevím, jestli v případě pppd server i klient umí ipv6...)

Jelikož v IPv6 není NAT, není zároveň potřeba nic dalšího nastavovat a mělo by to začít fungovat.

A IPv4: Jelikož na všech těch rozhraních jsou privátní adresy (192.168.x.y, 10.x.y.z), je použití

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

rozumné. Lépe to asi vyřešit nepůjde.

A na závěr bych chtěl chtěl udělat aby když na eth0 přijde nějaký paket třeba na hostname franta.mojedomena.cz tak aby se přesměroval na počítač X který je ve VPNce nebo LANce, a má můj server jako bránu. Ale s tímhle také moc nepočítám.

To se v IPv4 řeší pomocí iptables a DNAT, např. pro HTTP (port 80)

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.99.10:80

přesměruje požadavek, který přijde na eth0 port 80, na PC 192.168.99.10, port 80.

Ještě jedna technická, víc různých IP sítí na jednom rozhraní (eth0, eth0:0 a eth0:1) nemusí vždycky dělat dobrotu, zvlášť pokud by PC ze sítě 192.168.99.0/24 (eth0:0) chtěl přistupovat k PC v síti 10.40.13x.x (eth0:1). Mezi počítači se pak různě posílají zprávy o přesměrování (ICMP redirect), aby komunikovaly přímo mezi sebou a ne přes výchozí bránu, a ne vždycky to funguje...

iptables -t nat -A PREROUTING -i eth0 -d 82.100.10.20 -p tcp --dport 80 -j DNAT --to-destination 192.168.99.10:80
iptables -t nat -A PREROUTING -i eth0 -d 82.100.10.21 -p tcp --dport 80 -j DNAT --to-destination 192.168.99.11:80

ip addr add 82.100.10.20 dev eth0
ip addr add 82.100.10.21 dev eth0