abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 5
včera 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 31
včera 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 9
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 25
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 17
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 774 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Nejde naroutovat cesta

24.9.2009 17:24 LANman
Nejde naroutovat cesta
Přečteno: 1120×

Dobry den, zprovoznil jsem si na serveru vpn, po pripojeni se mi vytvori zarizeni tap0 a dostanu na nej IP adresu. Jedine, co mi zbyva, je naroutovat vsechen provoz z meho pocitace na dany server. Tyto pokusy vsak selhavaji:

$ sudo route add -net 0.0.0.0 gw ip_serveru dev tap0
SIOCADDRT: No such process
$ sudo ip route add 0.0.0.0/1 via ip_serveru dev tap0
RTNETLINK answers: No such process

Cim to muze byt zpusobeno?

Odpovědi

houska avatar 24.9.2009 18:27 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
ip route add default via xx dev yyy?
24.9.2009 18:53 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
S největší pravděpodobností na zařízení tap0 není nakonfigurována podsíť ve které se nachází ip adresa serveru. Musíte zadat tu ip adresu serveru, kterou má server nastavenou pro VPN síť. Nejprve prověřte, zda funguje ping na vnitřní ip adresu serveru, pak má teprve smysl zkoušet nastavit routu. Dále si uvědomte, že po nastavení defaultní routy bude opravdu všechen provoz směrován přez VPN takže i pakety tunelu, proto nejdříve nastavte výjimku pro dosažení veřejné ip adresy serveru, tak aby pakety směřovali přes stávající bránu
ip route add veřejná_ip_serveru/32 via stávající_brána
jinak vám nepude vůbec nic. A default je 0.0.0.0/0 a ne 0.0.0.0/1.
25.9.2009 11:26 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Dekuji za podrobny popis, bohuzel me znalosti siti nejsou zas tak vysoke, mozna kdybyste mi to vysvetlil primo na me konfiguraci.

Jeste nez se pripojim na vpn tak to vypada takto:

$ ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 00:13:E7:5F:19:1A
          inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::213:e8ff:fe5f:181f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:26656 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19541 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:19848505 (18.9 Mb)  TX bytes:4006347 (3.8 Mb)
$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

Po pripojeni na vpn se objevi interface tap0:

$ ifconfig tap0
tap0      Link encap:Ethernet  HWaddr 36:F8:AF:73:D8:56
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          inet6 addr: fe80::34f8:afff:fe73:d856/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:238 (238.0 b)

a routovaci tabulka vypada takto:

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

Verejna IP adresa vpn serveru je pro zjednoduseni 1.2.3.4 a jeho adresa ve VPN siti je 10.0.1.100. Maska ve VPN siti je 255.255.255.0. ping 10.0.1.100 funguje. Co mam tedy udelat ted?

25.9.2009 11:59 čavo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
route add -host 1.2.3.4 gw 192.168.0.1 ; udelenie vynimky pre VPN server

route add default gw 10.0.1.100 ; presmerovanie celej prevadzky cez server VPN

Netestol som to, Hádam som sa nepomýlil.
25.9.2009 13:26 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Po teto akci vypada routing table takto:

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

10.0.1.100 pingovat mohu, ale do internetu nemohu (ping google.com nefunguje)

25.9.2009 18:09 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Tak jsem zkousel ruzne kombinace az jsem v tom docista zamotal. Kazdopadne co potrebuji je, kdyz zadam u sebe "ping google.com", pak aby ten paket letel napred na vpn server a az pak do sveta. Je toto zalezitost nastaveni routovani u klienta nebo musim provest i nejake zasahy do routovaci tabuly serveru?

cynic_asshole avatar 25.9.2009 18:39 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Na serveru musíš zapnout předávání packetů (FORWARDING)

echo "1" > /proc/sys/net/ipv4/ip_forward
Neznáš nějakou linuxovou distribuci pro Windows?
25.9.2009 20:33 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Ok, forwarding jsem zapnul.

Routing table vypada takto:

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0

a traceroute na google takto:

$ traceroute google.com
traceroute to google.com (74.125.45.100), 30 hops max, 40 byte packets
 1  10.0.1.100 (10.0.1.100)  28.969 ms  41.833 ms  29.416 ms
 2  * *

To znamena, ze na vpn server do dojde, ale co se stane pak? Proc to nefunguje?

29.9.2009 10:11 tomfi | skóre: 19
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Na ten vpn server to vypadá že dojde... teď bude problém na něm. (nat, routing, policy, filtry...).

Podle toho co vidím hádám, že jste ještě nezměnil dns směrem k dns serveru, který slouží u toho vpn serveru... při provozu se mohou objevit některé problémy s nečekanou odpovědí na dns dostaz (hlavně pokud bude server v lokální síti vašeho poskytovatele připojení, nebo naopak v síti u vpn serveru). Dále můžete podle konfigurace pravděpodobně očekávat problémy s velkými rámci... no ale myslím, že teď Vám jde hlavně o ten ping, takže vše na serveru zkontrolovat, jestli je tak jak potřebujete.

Vždyť jsou to jen jedničky a nuly ...
DjAARA avatar 25.9.2009 20:24 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Zkusil bych po nastavení těch rout program traceroute, například traceroute 74.125.67.100, aby jsme viděli, kudy se snaží s danou ip adresou spojit. Pokud bude jako první skok VPN server na druhé straně, tak pak bude chyba na něm (možná nepovolený ip_forward, firewall, překlad adres?).
25.9.2009 20:40 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Ok, takze viz muj prispevek vyse, traceroute ukazal ze ping leti na VPN server. Na serveru je zapnuty ip_forward. Jak nyni zjistim blize cim to muze byt?

25.9.2009 21:52 linuxik | skóre: 32 | Milovice
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Nastavenim firewallu nebo SNAT/Maskarady.

25.9.2009 22:12 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Muzete byt prosim konkretnejsi, tohle zrovna nejsou veci, ve kterych bych se vyznal...

27.9.2009 17:50 pupala | skóre: 20
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Aká je IP adresa brány, ktorú používa sieť za OpenVPN serverom? 10.0.1.100 ? Alebo 10.0.1.100 je IP OpenVPN servera?
27.9.2009 20:10 pupala | skóre: 20
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Pošli ešte route -n a ifconfig zo servera.
25.9.2009 23:01 moira | skóre: 30 | blog: nesmysly
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Pokud se jedna o OpenVPN, co volba push "redirect-gateway" ?
Překladač ti nikdy neřekne: "budeme kamarádi"
26.9.2009 14:49 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Tak jsem tento radek zapsal do konfigurace serveru a restartoval ho, ale stale to same...

Pokud mam routing tabe takto:

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

tak mohu pingovat vnitrni IP serveru (10.0.1.100), ale nemohu pingovat google. Navic traceroute google.com ukazuj toto:

 traceroute google.com
traceroute: Warning: google.com has multiple addresses; using 74.125.67.100
traceroute to google.com (74.125.67.100), 30 hops max, 40 byte packets
 1  * * *
 2  * *

neukazuje zadny skok, takze ani nevim kam ten ICMP paket leti. Zkusil jsem tedy odstranit default gw 192.168.0.1, potom routovaci tabulka vypada takto:

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0

Stale mohu pingovat 10.0.1.100, google.com nemuzu. Traceroute vsak uz ukazuje toto:

$ traceroute g
traceroute to www.google.com (74.125.45.100), 30 hops max, 40 byte packets
 1  10.0.1.100 (10.0.1.100)  29.738 ms  34.632 ms  28.715 ms
 2  * * *

Takze pingovaci paket dorazi alespon na VPN server. Jinak ze serveru (10.0.1.100) muzu sebe pingovat (10.0.1.1). Nejake navrhy co zkusit nyni?

26.9.2009 16:37 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Zkontrolujte, zda je opravdu povolený ip_forward na serveru:
cat /proc/sys/net/ipv4/ip_forward
musí vrátit 1

pokud ano tak je ještě potřeba nastavit na serveru iptables:
1) nesmí pakety zahazovat (tabulka filter)
2) musí provádět maškarádu (tabulka nat)
zkuste vypsat obě tabulky:
iptables -t filter -vnL
iptables -t nat -vnL
tabulka pro filtrování by měla vypadat nějak takto:
Chain FORWARD (policy DROP)
ACCEPT     all  --  tap0    eth0    0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  eth0   tap0     0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
za předpokladu že eth0 je rozhraní směrující k poskytovateli

tabulka pro natování by měla vypadat nějak takto:
Chain POSTROUTING (policy ACCEPT)
MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
za předpokladu že eth0 je rozhraní směrující k poskytovateli

je vhodné povolit pouze vnitřní podsíť, ale není to nutné.

iptables musí být také zapnuté - stav iptables se dá obvykle zjistit pomocí
/etc/init.d/iptables status

Pokud problémy přetrvají můžete zkusit nějaký sniffer na serveru (tshark nebo wireshark) velmi vám to pomůže zjistit kde je problém.
Někdy je lepší místo traceroute použít příkaz ping s parametrem -t # kde za # dosadíte číslo hopu.
26.9.2009 18:22 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
brea:/home/user# cat /proc/sys/net/ipv4/ip_forward
1
brea:/home/user# /etc/init.d/iptables status
bash: /etc/init.d/iptables: No such file or directory
brea:/home/user# iptables -t filter -vnL
WARNING: All config files need .conf: /etc/modprobe.d/nvidia-kernel-nkc, it will be ignored in a future release.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
brea:/home/user# iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
brea:/home/user#
27.9.2009 12:08 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Ano jak sem řekl .. bez maškarády vám to fungovat nemůže..
zkuste:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE
za eth0 dosaďte rozhraní směrující k internetu.

pokud vám to stále nepude, zkuste nainstalovat tshark a spustit ho:
tshark -i tap0
a pingovat od klienta někam ven. Na tsharku uvidíte příchozí ICMP pakety zdrojová ip by měla být lokální ip klienta a cílová by měla být schodná s cílovou ip.
Pak zkuste spustit tshark na rozhraní k ISP:
tshark -i eth0
Měli by být vidět pakety odcházející k ISP a zdrojová adresa by se měla změnit za veřejnou ip adresu serveru.
Opačná změna by se měla dít pro příchozí pakety.
Pro zvýšení bezpečnosti byste měl vytvořit i záznamy ve filtrovací tabulce.
Nezapomeňte si pak uložit nastavení iptables (příkaz iptables-save) obnova (iptables-restore).
Vaše distribuce by ale měla mít vestavěný nastavování iptables, takže pokud možno použijte to.
27.9.2009 16:00 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Ok, udelal jsem to presne podle toho navodu. Pri sudo tshark -i tap0 jsem videl toto:

69.272133     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request

Takze to je presne jak jste psal, ale pri tshark -i eth1 vidim take toto:

0.504699     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request

Takze zdrojova adresa se na verejnou IP adresu serveru neprepsala... proc?

Jinak distribuce bezici na serveru je debian.

27.9.2009 16:04 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Btw, maska te vnitri site (10.0.1.*) je 255.255.255.0 - coz neodpovida tomu /24 z toho iptables pravidla co jste psal - muze toto zpusobovat problemy?

27.9.2009 19:31 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Odpovídá - /24 je ekvivalentní k 255.255.255.0
27.9.2009 19:54 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Tak bude pravděpodobně problém v maškarádě.
Zkuste iptables -t nat -vnL
co nyní příkaz vypíše?
nalevo (pkts) by mělo být uvedeno kolikrát se pravidlo ujalo. Pokud je tam nula tak se zřejmě nesplní nějaké kritérium, nebo pokud je i v POSTROUTING (0 packets), tak se z nějakého důvodu neprovádí POSTROUTING.
Možná bude potřeba iptables nějak zapnout.
28.9.2009 09:31 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Chain POSTROUTING (policy ACCEPT 6210 packets, 487K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    10.0.1.0/24          0.0.0.0/0

Co tedy ta maska 10.0.1.0/24 - viz muj prispevek nad vasim, muze prave ta maska byt kriteriem co se nesplni?. Distribuce je debian, soubor /etc/init.d/iptables ale neexistuje. V systemu jsou tyto prikazy:

$ sudo iptables
iptables          iptables-apply    iptables-restore  iptables-save     iptables-xml
DjAARA avatar 28.9.2009 10:23 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Jak již bylo řečeno výše, maska /24 je to samé jako 255.255.255.0. Viz například
$ ipcalc 10.0.1.0/24
Address:   10.0.1.0             00001010.00000000.00000001. 00000000
Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
=>
Network:   10.0.1.0/24          00001010.00000000.00000001. 00000000
HostMin:   10.0.1.1             00001010.00000000.00000001. 00000001
HostMax:   10.0.1.254           00001010.00000000.00000001. 11111110
Broadcast: 10.0.1.255           00001010.00000000.00000001. 11111111
Hosts/Net: 254                   Class A, Private Internet
28.9.2009 11:34 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Aha, nejak jsem si toho nevsiml, uz je mi to jasne...

28.9.2009 12:16 tomk
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Pro jistotu bych se zeptal na dve otazky:

1) Ten vypis iptables je proveden na serveru?

2) eth0 - je rozhrani mirici do Internetu? Protoze o kousek vyse bylo pro sledovani provozu tsharkem na internetovem rozhrani dosazovano "-i eth1"

Tomas

 

28.9.2009 22:18 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

1) ano

2) eth1 je rozhrani mirici do internetu, eth0 na danem pocitaci (serveru) je disabled.

28.9.2009 23:12 tomk
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Tak v tom pripade je jasne, ze to co ve vypisu

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE

nesedi je parametr -o eth0. Jak je uz ostatne napsano i v dalsich prispevcich.

Tomas

28.9.2009 12:53 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Je evidentní, že pakety prochájí, takže iptables a POSTROUTING běží, problém je v tom, že se nenačítá pkts. To znamená, že se nesplní nějaké kritérium (jak už jsem psal). Je tedy eth0 skutečně rozhraním směrujícím k ISP ?
jak jsem psal "za eth0 dosaďte rozhraní směrující k internetu".
podle vašeho tshark -i eth1 bych soudil, že tam má být eth1.
28.9.2009 12:59 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Aby to teda bylo uplně jasné, zkuste:
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE
28.9.2009 20:23 pupala | skóre: 20
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Inak tap je rozhranie pre bridge a neroutuje sa cez neho, na to je tun. Default routa na klientovi openvpn musi byť presne tá istá ako na serveri, ak je použité rozhranie tap. Zato som chcel v predošlom výpis ifconfig a route -n zo servera.
29.9.2009 19:53 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Ano, dekuji, spletl jsem to, pouzil jsem eth0 misto eth1, ted uz mohu pingovat do internetu.

Mam vsak jeste jeden dotaz. Proc nefunguje traceroute (treba google.com) - vystupem jsou jen hvezdicky a nevidim zadne hopy i kdyz je jasne ze ten pozadavek projde tam i zpet.

houska avatar 29.9.2009 19:57 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
nedela to dnska? zkus pingat ip adresu (napr. 77.75.76.3)
29.9.2009 20:35 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

Pingovani domenovych jmen i IP adres funguje. Co nefunguje je traceroute.

houska avatar 29.9.2009 20:38 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
mno tak jediny co me napada ze ti nekdo blokuje UDP na portu 53 na kterem traceroute funguje, zkus jiny port
29.9.2009 20:57 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

No celkem pochybuju ze 53 je blokovany, ale muzu to vyzkouset, jak donutim traceroute pouzit jiny port?

houska avatar 30.9.2009 08:25 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
man traceroute
1.10.2009 14:29 Lefo
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
traceroute vybere náhodný UDP port a pak ho s každým paketem incrementuje. Mení divu, že vám to nefunguje. Zkuste použít traceroute s parametrem -I pak se použije ICMP. Pokud použijete parametr -p tak vám to stejně nepude, protože tím parametrem nastavujete jen počáteční port, ale pro další pakety se použijí vyšší porty. Pokud použijete -I tak se odešle standardní ping request a odpovědi se rozliší podle shody identifikátorů a sekvenčního čísla v ICMP paketu.
26.9.2009 16:44 moira | skóre: 30 | blog: nesmysly
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
Co vypíše iptables -L a iptables -t nat -L na serveru?
Překladač ti nikdy neřekne: "budeme kamarádi"
26.9.2009 18:23 LANman
Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
brea:/home/user# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
brea:/home/user# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
brea:/home/user#

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.