abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 21
včera 15:11 | Zajímavý projekt

V únoru loňského roku bylo představeno několik útoků na celou řadu bezdrátových klávesnic a myší s názvem MouseJack. Po více než roce lze chybu opravit, tj. aktualizovat firmware, také z Linuxu. Richardu Hughesovi se podařilo navázat spolupráci se společností Logitech, získat od nich dokumentaci, přesvědčit je, aby firmware poskytovali přímo a ne jako součást .exe souboru, aby mohl být popis začleněn do služby Linux Vendor Firmware Service (LVFS) a aktualizace tak mohla proběhnou přímo z Linuxu pomocí projektu fwupd.

Ladislav Hagara | Komentářů: 2
včera 13:22 | Nová verze

Po roce a půl vydali vývojáři projektu SANE (Scanner Access Now Easy) (Wikipedie) novou verzi 1.0.27 balíku SANE-Backends. Nejnovější verze tohoto balíku pro přístup ke skenerům přináší například významná vylepšení v několika backendech nebo podporu pro více než 30 nových modelů skenerů. Verze 1.0.26 byla přeskočena.

Ladislav Hagara | Komentářů: 0
22.5. 20:55 | Komunita

Od 18. do 21. května proběhla v Saint-Étienne Linux Audio Conference 2017. Na programu byla řada zajímavých přednášek a seminářů. Videozáznamy přednášek lze zhlédnout na YouTube. K dispozici jsou také články a prezentace.

Ladislav Hagara | Komentářů: 0
22.5. 20:44 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, překonala hranici 2 200 dolarů. Za posledních 30 dnů tak vzrostla přibližně o 80 % [reddit].

Ladislav Hagara | Komentářů: 8
22.5. 17:33 | Nová verze

Po 5 měsících vývoje od vydání verze 0.12.0 byla vydána verze 0.13.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 83 vývojářů. Přibylo 840 nových balíčků. Jejich aktuální počet je 5 454. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 1
22.5. 17:22 | Nová verze

Po 5 měsících vývoje a 3 týdnech intenzivního testování byla vydána verze 12 open source systému Nextcloud, forku ownCloudu, umožňujícího provoz vlastního cloudového úložiště. Přehled novinek i s videoukázkami v poznámkách k vydání. Pro vyzkoušení je k dispozici demo.

Ladislav Hagara | Komentářů: 10
22.5. 11:44 | Zajímavý článek

Týden po prvním číslu publikoval Michal Špaček na svých stránkách druhé číslo newsletteru věnovanému bezpečnosti, bezpečnému vývoji převážně webových aplikací a bezpečnosti uživatelů. Věnuje se výpadku Let's Encrypt, únikům dat, bug bounty pro WordPress nebo SQL Injection v Joomla. Zmiňuje také, že Mozilla plánuje z Firefoxu odstranit podporu pro Encrypted Media Extensions (EME) na nešifrovaném HTTP a nadále pro EME vyžadovat HTTPS.

Ladislav Hagara | Komentářů: 0
22.5. 02:00 | Pozvánky

Ve středu 31. května 2017 od 17:00 proběhne v pražské pobočce SUSE Den otevřených dveří v SUSE. Čekají vás přednášky o live kernel patchingu a nástroji SaltStack. Také se dozvíte zajímavé informace o SUSE, openSUSE, a vlastně všech produktech, na kterých lidé ze SUSE pracují.

Ladislav Hagara | Komentářů: 4
22.5. 01:00 | Pozvánky

Czech JBoss User Group srdečně zve na setkání JBUG v Brně, které se koná ve středu 7. června 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Tomáš Livora na téma Fault Tolerance with Hystrix. Více informací na Facebooku a Twitteru #jbugcz.

mjedlick | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (45%)
 (8%)
Celkem 603 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: Nejde naroutovat cesta

    24.9.2009 17:24 LANman
    Nejde naroutovat cesta
    Přečteno: 1138×

    Dobry den, zprovoznil jsem si na serveru vpn, po pripojeni se mi vytvori zarizeni tap0 a dostanu na nej IP adresu. Jedine, co mi zbyva, je naroutovat vsechen provoz z meho pocitace na dany server. Tyto pokusy vsak selhavaji:

    $ sudo route add -net 0.0.0.0 gw ip_serveru dev tap0
    SIOCADDRT: No such process
    $ sudo ip route add 0.0.0.0/1 via ip_serveru dev tap0
    RTNETLINK answers: No such process
    

    Cim to muze byt zpusobeno?

    Odpovědi

    houska avatar 24.9.2009 18:27 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    ip route add default via xx dev yyy?
    24.9.2009 18:53 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    S největší pravděpodobností na zařízení tap0 není nakonfigurována podsíť ve které se nachází ip adresa serveru. Musíte zadat tu ip adresu serveru, kterou má server nastavenou pro VPN síť. Nejprve prověřte, zda funguje ping na vnitřní ip adresu serveru, pak má teprve smysl zkoušet nastavit routu. Dále si uvědomte, že po nastavení defaultní routy bude opravdu všechen provoz směrován přez VPN takže i pakety tunelu, proto nejdříve nastavte výjimku pro dosažení veřejné ip adresy serveru, tak aby pakety směřovali přes stávající bránu
    ip route add veřejná_ip_serveru/32 via stávající_brána
    jinak vám nepude vůbec nic. A default je 0.0.0.0/0 a ne 0.0.0.0/1.
    25.9.2009 11:26 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Dekuji za podrobny popis, bohuzel me znalosti siti nejsou zas tak vysoke, mozna kdybyste mi to vysvetlil primo na me konfiguraci.

    Jeste nez se pripojim na vpn tak to vypada takto:

    $ ifconfig wlan0
    wlan0     Link encap:Ethernet  HWaddr 00:13:E7:5F:19:1A
              inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0
              inet6 addr: fe80::213:e8ff:fe5f:181f/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:26656 errors:0 dropped:0 overruns:0 frame:0
              TX packets:19541 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:19848505 (18.9 Mb)  TX bytes:4006347 (3.8 Mb)
    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    

    Po pripojeni na vpn se objevi interface tap0:

    $ ifconfig tap0
    tap0      Link encap:Ethernet  HWaddr 36:F8:AF:73:D8:56
              inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
              inet6 addr: fe80::34f8:afff:fe73:d856/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:0 (0.0 b)  TX bytes:238 (238.0 b)
    

    a routovaci tabulka vypada takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    

    Verejna IP adresa vpn serveru je pro zjednoduseni 1.2.3.4 a jeho adresa ve VPN siti je 10.0.1.100. Maska ve VPN siti je 255.255.255.0. ping 10.0.1.100 funguje. Co mam tedy udelat ted?

    25.9.2009 11:59 čavo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    route add -host 1.2.3.4 gw 192.168.0.1 ; udelenie vynimky pre VPN server

    route add default gw 10.0.1.100 ; presmerovanie celej prevadzky cez server VPN

    Netestol som to, Hádam som sa nepomýlil.
    25.9.2009 13:26 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Po teto akci vypada routing table takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    

    10.0.1.100 pingovat mohu, ale do internetu nemohu (ping google.com nefunguje)

    25.9.2009 18:09 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak jsem zkousel ruzne kombinace az jsem v tom docista zamotal. Kazdopadne co potrebuji je, kdyz zadam u sebe "ping google.com", pak aby ten paket letel napred na vpn server a az pak do sveta. Je toto zalezitost nastaveni routovani u klienta nebo musim provest i nejake zasahy do routovaci tabuly serveru?

    cynic_asshole avatar 25.9.2009 18:39 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Na serveru musíš zapnout předávání packetů (FORWARDING)

    echo "1" > /proc/sys/net/ipv4/ip_forward
    Neznáš nějakou linuxovou distribuci pro Windows?
    25.9.2009 20:33 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, forwarding jsem zapnul.

    Routing table vypada takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    

    a traceroute na google takto:

    $ traceroute google.com
    traceroute to google.com (74.125.45.100), 30 hops max, 40 byte packets
     1  10.0.1.100 (10.0.1.100)  28.969 ms  41.833 ms  29.416 ms
     2  * *
    

    To znamena, ze na vpn server do dojde, ale co se stane pak? Proc to nefunguje?

    29.9.2009 10:11 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Na ten vpn server to vypadá že dojde... teď bude problém na něm. (nat, routing, policy, filtry...).

    Podle toho co vidím hádám, že jste ještě nezměnil dns směrem k dns serveru, který slouží u toho vpn serveru... při provozu se mohou objevit některé problémy s nečekanou odpovědí na dns dostaz (hlavně pokud bude server v lokální síti vašeho poskytovatele připojení, nebo naopak v síti u vpn serveru). Dále můžete podle konfigurace pravděpodobně očekávat problémy s velkými rámci... no ale myslím, že teď Vám jde hlavně o ten ping, takže vše na serveru zkontrolovat, jestli je tak jak potřebujete.

    Vždyť jsou to jen jedničky a nuly ...
    DjAARA avatar 25.9.2009 20:24 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Zkusil bych po nastavení těch rout program traceroute, například traceroute 74.125.67.100, aby jsme viděli, kudy se snaží s danou ip adresou spojit. Pokud bude jako první skok VPN server na druhé straně, tak pak bude chyba na něm (možná nepovolený ip_forward, firewall, překlad adres?).
    25.9.2009 20:40 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, takze viz muj prispevek vyse, traceroute ukazal ze ping leti na VPN server. Na serveru je zapnuty ip_forward. Jak nyni zjistim blize cim to muze byt?

    25.9.2009 21:52 linuxik | skóre: 32 | Milovice
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Nastavenim firewallu nebo SNAT/Maskarady.

    25.9.2009 22:12 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Muzete byt prosim konkretnejsi, tohle zrovna nejsou veci, ve kterych bych se vyznal...

    27.9.2009 17:50 pupala | skóre: 20
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Aká je IP adresa brány, ktorú používa sieť za OpenVPN serverom? 10.0.1.100 ? Alebo 10.0.1.100 je IP OpenVPN servera?
    27.9.2009 20:10 pupala | skóre: 20
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Pošli ešte route -n a ifconfig zo servera.
    25.9.2009 23:01 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Pokud se jedna o OpenVPN, co volba push "redirect-gateway" ?
    Překladač ti nikdy neřekne: "budeme kamarádi"
    26.9.2009 14:49 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak jsem tento radek zapsal do konfigurace serveru a restartoval ho, ale stale to same...

    Pokud mam routing tabe takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    
    

    tak mohu pingovat vnitrni IP serveru (10.0.1.100), ale nemohu pingovat google. Navic traceroute google.com ukazuj toto:

     traceroute google.com
    traceroute: Warning: google.com has multiple addresses; using 74.125.67.100
    traceroute to google.com (74.125.67.100), 30 hops max, 40 byte packets
     1  * * *
     2  * *
    

    neukazuje zadny skok, takze ani nevim kam ten ICMP paket leti. Zkusil jsem tedy odstranit default gw 192.168.0.1, potom routovaci tabulka vypada takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    

    Stale mohu pingovat 10.0.1.100, google.com nemuzu. Traceroute vsak uz ukazuje toto:

    $ traceroute g
    traceroute to www.google.com (74.125.45.100), 30 hops max, 40 byte packets
     1  10.0.1.100 (10.0.1.100)  29.738 ms  34.632 ms  28.715 ms
     2  * * *
    

    Takze pingovaci paket dorazi alespon na VPN server. Jinak ze serveru (10.0.1.100) muzu sebe pingovat (10.0.1.1). Nejake navrhy co zkusit nyni?

    26.9.2009 16:37 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Zkontrolujte, zda je opravdu povolený ip_forward na serveru:
    cat /proc/sys/net/ipv4/ip_forward
    musí vrátit 1

    pokud ano tak je ještě potřeba nastavit na serveru iptables:
    1) nesmí pakety zahazovat (tabulka filter)
    2) musí provádět maškarádu (tabulka nat)
    zkuste vypsat obě tabulky:
    iptables -t filter -vnL
    iptables -t nat -vnL
    tabulka pro filtrování by měla vypadat nějak takto:
    Chain FORWARD (policy DROP)
    ACCEPT     all  --  tap0    eth0    0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  eth0   tap0     0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    
    za předpokladu že eth0 je rozhraní směrující k poskytovateli

    tabulka pro natování by měla vypadat nějak takto:
    Chain POSTROUTING (policy ACCEPT)
    MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    
    za předpokladu že eth0 je rozhraní směrující k poskytovateli

    je vhodné povolit pouze vnitřní podsíť, ale není to nutné.

    iptables musí být také zapnuté - stav iptables se dá obvykle zjistit pomocí
    /etc/init.d/iptables status

    Pokud problémy přetrvají můžete zkusit nějaký sniffer na serveru (tshark nebo wireshark) velmi vám to pomůže zjistit kde je problém.
    Někdy je lepší místo traceroute použít příkaz ping s parametrem -t # kde za # dosadíte číslo hopu.
    26.9.2009 18:22 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    brea:/home/user# cat /proc/sys/net/ipv4/ip_forward
    1
    brea:/home/user# /etc/init.d/iptables status
    bash: /etc/init.d/iptables: No such file or directory
    brea:/home/user# iptables -t filter -vnL
    WARNING: All config files need .conf: /etc/modprobe.d/nvidia-kernel-nkc, it will be ignored in a future release.
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    brea:/home/user# iptables -t nat -vnL
    Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    brea:/home/user#
    
    27.9.2009 12:08 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Ano jak sem řekl .. bez maškarády vám to fungovat nemůže..
    zkuste:
    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE
    za eth0 dosaďte rozhraní směrující k internetu.

    pokud vám to stále nepude, zkuste nainstalovat tshark a spustit ho:
    tshark -i tap0
    a pingovat od klienta někam ven. Na tsharku uvidíte příchozí ICMP pakety zdrojová ip by měla být lokální ip klienta a cílová by měla být schodná s cílovou ip.
    Pak zkuste spustit tshark na rozhraní k ISP:
    tshark -i eth0
    Měli by být vidět pakety odcházející k ISP a zdrojová adresa by se měla změnit za veřejnou ip adresu serveru.
    Opačná změna by se měla dít pro příchozí pakety.
    Pro zvýšení bezpečnosti byste měl vytvořit i záznamy ve filtrovací tabulce.
    Nezapomeňte si pak uložit nastavení iptables (příkaz iptables-save) obnova (iptables-restore).
    Vaše distribuce by ale měla mít vestavěný nastavování iptables, takže pokud možno použijte to.
    27.9.2009 16:00 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, udelal jsem to presne podle toho navodu. Pri sudo tshark -i tap0 jsem videl toto:

    69.272133     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request
    

    Takze to je presne jak jste psal, ale pri tshark -i eth1 vidim take toto:

    0.504699     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request
    

    Takze zdrojova adresa se na verejnou IP adresu serveru neprepsala... proc?

    Jinak distribuce bezici na serveru je debian.

    27.9.2009 16:04 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Btw, maska te vnitri site (10.0.1.*) je 255.255.255.0 - coz neodpovida tomu /24 z toho iptables pravidla co jste psal - muze toto zpusobovat problemy?

    27.9.2009 19:31 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Odpovídá - /24 je ekvivalentní k 255.255.255.0
    27.9.2009 19:54 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Tak bude pravděpodobně problém v maškarádě.
    Zkuste iptables -t nat -vnL
    co nyní příkaz vypíše?
    nalevo (pkts) by mělo být uvedeno kolikrát se pravidlo ujalo. Pokud je tam nula tak se zřejmě nesplní nějaké kritérium, nebo pokud je i v POSTROUTING (0 packets), tak se z nějakého důvodu neprovádí POSTROUTING.
    Možná bude potřeba iptables nějak zapnout.
    28.9.2009 09:31 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Chain POSTROUTING (policy ACCEPT 6210 packets, 487K bytes)
     pkts bytes target     prot opt in     out     source               destination
        0     0 MASQUERADE  all  --  *      eth0    10.0.1.0/24          0.0.0.0/0
    

    Co tedy ta maska 10.0.1.0/24 - viz muj prispevek nad vasim, muze prave ta maska byt kriteriem co se nesplni?. Distribuce je debian, soubor /etc/init.d/iptables ale neexistuje. V systemu jsou tyto prikazy:

    $ sudo iptables
    iptables          iptables-apply    iptables-restore  iptables-save     iptables-xml
    
    DjAARA avatar 28.9.2009 10:23 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Jak již bylo řečeno výše, maska /24 je to samé jako 255.255.255.0. Viz například
    $ ipcalc 10.0.1.0/24
    Address:   10.0.1.0             00001010.00000000.00000001. 00000000
    Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
    Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
    =>
    Network:   10.0.1.0/24          00001010.00000000.00000001. 00000000
    HostMin:   10.0.1.1             00001010.00000000.00000001. 00000001
    HostMax:   10.0.1.254           00001010.00000000.00000001. 11111110
    Broadcast: 10.0.1.255           00001010.00000000.00000001. 11111111
    Hosts/Net: 254                   Class A, Private Internet
    28.9.2009 11:34 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Aha, nejak jsem si toho nevsiml, uz je mi to jasne...

    28.9.2009 12:16 tomk
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Pro jistotu bych se zeptal na dve otazky:

    1) Ten vypis iptables je proveden na serveru?

    2) eth0 - je rozhrani mirici do Internetu? Protoze o kousek vyse bylo pro sledovani provozu tsharkem na internetovem rozhrani dosazovano "-i eth1"

    Tomas

     

    28.9.2009 22:18 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    1) ano

    2) eth1 je rozhrani mirici do internetu, eth0 na danem pocitaci (serveru) je disabled.

    28.9.2009 23:12 tomk
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak v tom pripade je jasne, ze to co ve vypisu

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE

    nesedi je parametr -o eth0. Jak je uz ostatne napsano i v dalsich prispevcich.

    Tomas

    28.9.2009 12:53 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Je evidentní, že pakety prochájí, takže iptables a POSTROUTING běží, problém je v tom, že se nenačítá pkts. To znamená, že se nesplní nějaké kritérium (jak už jsem psal). Je tedy eth0 skutečně rozhraním směrujícím k ISP ?
    jak jsem psal "za eth0 dosaďte rozhraní směrující k internetu".
    podle vašeho tshark -i eth1 bych soudil, že tam má být eth1.
    28.9.2009 12:59 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Aby to teda bylo uplně jasné, zkuste:
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE
    
    28.9.2009 20:23 pupala | skóre: 20
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Inak tap je rozhranie pre bridge a neroutuje sa cez neho, na to je tun. Default routa na klientovi openvpn musi byť presne tá istá ako na serveri, ak je použité rozhranie tap. Zato som chcel v predošlom výpis ifconfig a route -n zo servera.
    29.9.2009 19:53 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ano, dekuji, spletl jsem to, pouzil jsem eth0 misto eth1, ted uz mohu pingovat do internetu.

    Mam vsak jeste jeden dotaz. Proc nefunguje traceroute (treba google.com) - vystupem jsou jen hvezdicky a nevidim zadne hopy i kdyz je jasne ze ten pozadavek projde tam i zpet.

    houska avatar 29.9.2009 19:57 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    nedela to dnska? zkus pingat ip adresu (napr. 77.75.76.3)
    29.9.2009 20:35 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Pingovani domenovych jmen i IP adres funguje. Co nefunguje je traceroute.

    houska avatar 29.9.2009 20:38 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    mno tak jediny co me napada ze ti nekdo blokuje UDP na portu 53 na kterem traceroute funguje, zkus jiny port
    29.9.2009 20:57 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    No celkem pochybuju ze 53 je blokovany, ale muzu to vyzkouset, jak donutim traceroute pouzit jiny port?

    houska avatar 30.9.2009 08:25 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    man traceroute
    1.10.2009 14:29 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    traceroute vybere náhodný UDP port a pak ho s každým paketem incrementuje. Mení divu, že vám to nefunguje. Zkuste použít traceroute s parametrem -I pak se použije ICMP. Pokud použijete parametr -p tak vám to stejně nepude, protože tím parametrem nastavujete jen počáteční port, ale pro další pakety se použijí vyšší porty. Pokud použijete -I tak se odešle standardní ping request a odpovědi se rozliší podle shody identifikátorů a sekvenčního čísla v ICMP paketu.
    26.9.2009 16:44 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Co vypíše iptables -L a iptables -t nat -L na serveru?
    Překladač ti nikdy neřekne: "budeme kamarádi"
    26.9.2009 18:23 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    brea:/home/user# iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    brea:/home/user# iptables -t nat -L
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    brea:/home/user#
    

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.