abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 01:23 | Komunita

Phoronix spustil 2017 Linux Laptop Survey. Tento dotazník s otázkami zaměřenými na parametry ideálního notebooku s Linuxem lze vyplnit do 6. července.

Ladislav Hagara | Komentářů: 2
23.6. 22:44 | Nová verze

Po třech měsících vývoje od vydání verze 5.5.0 byla vydána verze 5.6.0 správce digitálních fotografií digiKam (digiKam Software Collection). Do digiKamu se mimo jiné vrátila HTML galerie a nástroj pro vytváření videa z fotografií. V Bugzille bylo uzavřeno více než 81 záznamů.

Ladislav Hagara | Komentářů: 1
23.6. 17:44 | Nová verze

Byla vydána verze 9.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab. Představení nových vlastností v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 3
23.6. 13:53 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2017-06-21 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Z novinek lze zdůraznit IDE Thonny pro vývoj v programovacím jazyce Python a především offline verzi Scratche 2.0. Ten bylo dosud možné používat pouze online. Offline bylo možné používat pouze Scratch ve verzi 1.4. Z nového Scratchu lze ovládat také GPIO piny. Scratch 2.0 vyžaduje Flash.

Ladislav Hagara | Komentářů: 1
22.6. 14:24 | Nová verze

Opera 46, verze 46.0.2597.26, byla prohlášena za stabilní. Nejnovější verze tohoto webového prohlížeče je postavena na Chromiu 59. Z novinek lze zmínit například podporu APNG (Animated Portable Network Graphics). Přehled novinek pro vývojáře na blogu Dev.Opera. Oznámení o vydání zmiňuje také první televizní reklamu.

Ladislav Hagara | Komentářů: 0
22.6. 13:37 | IT novinky

I čtenáři AbcLinuxu před dvěma lety vyplňovali dotazníky věnované Retro ThinkPadu. Nyní bylo potvrzeno, že iniciativa Retro ThinkPad je stále naživu a Lenovo připravuje speciální edici ThinkPadu jako součást oslav jeho 25. výročí.

Ladislav Hagara | Komentářů: 24
22.6. 10:22 | Komunita

Bylo oznámeno, že frontend a runtime programovacího jazyka D bude začleněn do kolekce kompilátorů GCC (GNU Compiler Collection). Správcem byl ustanoven Iain Buclaw.

Ladislav Hagara | Komentářů: 7
21.6. 18:47 | IT novinky
Bulharská firma Olimex je známá jako výrobce kvalitních mini arm desek, u nichž se snaží být maximálně open source. Kromě velké otevřenosti taktéž zaručují dlouhodobou podporu výroby, což je vítáno ve firemním prostředí. Nyní firma ohlásila ESP32-GATEWAY, malou IoT desku s Wifi, Bluetooth, Ethernetem a 20 GPIO porty za 22EUR. Tato malá deska je ořezanou verzí ESP32-EVB.
Max | Komentářů: 21
21.6. 18:00 | Zajímavý článek

LinuxGizmos (v dubnu loňského roku přejmenován na HackerBoards a v lednu letošního roku zpět na LinuxGizmos) zveřejnil výsledky čtenářské ankety o nejoblíbenější jednodeskový počítač (SBC) v roce 2017. Letos se vybíralo z 98 jednodeskových počítačů (Tabulky Google). Nejoblíbenějšími jednodeskovými počítači v letošním roce jsou Raspberry Pi 3 Model B, Raspberry Pi Zero W a Raspberry Pi 2 Model B.

Ladislav Hagara | Komentářů: 0
21.6. 14:22 | Pozvánky

Ne-konference jOpenSpace 2017 se koná od 13. do 15. října 2017 v hotelu Farma u Pelhřimova. Registrace účastníků je nutná. Více informací na stránkách ne-konference.

Zdenek H. | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (31%)
 (1%)
 (9%)
 (44%)
 (9%)
Celkem 835 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: Nejde naroutovat cesta

    24.9.2009 17:24 LANman
    Nejde naroutovat cesta
    Přečteno: 1138×

    Dobry den, zprovoznil jsem si na serveru vpn, po pripojeni se mi vytvori zarizeni tap0 a dostanu na nej IP adresu. Jedine, co mi zbyva, je naroutovat vsechen provoz z meho pocitace na dany server. Tyto pokusy vsak selhavaji:

    $ sudo route add -net 0.0.0.0 gw ip_serveru dev tap0
    SIOCADDRT: No such process
    $ sudo ip route add 0.0.0.0/1 via ip_serveru dev tap0
    RTNETLINK answers: No such process
    

    Cim to muze byt zpusobeno?

    Odpovědi

    houska avatar 24.9.2009 18:27 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    ip route add default via xx dev yyy?
    24.9.2009 18:53 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    S největší pravděpodobností na zařízení tap0 není nakonfigurována podsíť ve které se nachází ip adresa serveru. Musíte zadat tu ip adresu serveru, kterou má server nastavenou pro VPN síť. Nejprve prověřte, zda funguje ping na vnitřní ip adresu serveru, pak má teprve smysl zkoušet nastavit routu. Dále si uvědomte, že po nastavení defaultní routy bude opravdu všechen provoz směrován přez VPN takže i pakety tunelu, proto nejdříve nastavte výjimku pro dosažení veřejné ip adresy serveru, tak aby pakety směřovali přes stávající bránu
    ip route add veřejná_ip_serveru/32 via stávající_brána
    jinak vám nepude vůbec nic. A default je 0.0.0.0/0 a ne 0.0.0.0/1.
    25.9.2009 11:26 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Dekuji za podrobny popis, bohuzel me znalosti siti nejsou zas tak vysoke, mozna kdybyste mi to vysvetlil primo na me konfiguraci.

    Jeste nez se pripojim na vpn tak to vypada takto:

    $ ifconfig wlan0
    wlan0     Link encap:Ethernet  HWaddr 00:13:E7:5F:19:1A
              inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0
              inet6 addr: fe80::213:e8ff:fe5f:181f/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:26656 errors:0 dropped:0 overruns:0 frame:0
              TX packets:19541 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:19848505 (18.9 Mb)  TX bytes:4006347 (3.8 Mb)
    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    

    Po pripojeni na vpn se objevi interface tap0:

    $ ifconfig tap0
    tap0      Link encap:Ethernet  HWaddr 36:F8:AF:73:D8:56
              inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
              inet6 addr: fe80::34f8:afff:fe73:d856/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:100
              RX bytes:0 (0.0 b)  TX bytes:238 (238.0 b)
    

    a routovaci tabulka vypada takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    

    Verejna IP adresa vpn serveru je pro zjednoduseni 1.2.3.4 a jeho adresa ve VPN siti je 10.0.1.100. Maska ve VPN siti je 255.255.255.0. ping 10.0.1.100 funguje. Co mam tedy udelat ted?

    25.9.2009 11:59 čavo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    route add -host 1.2.3.4 gw 192.168.0.1 ; udelenie vynimky pre VPN server

    route add default gw 10.0.1.100 ; presmerovanie celej prevadzky cez server VPN

    Netestol som to, Hádam som sa nepomýlil.
    25.9.2009 13:26 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Po teto akci vypada routing table takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    

    10.0.1.100 pingovat mohu, ale do internetu nemohu (ping google.com nefunguje)

    25.9.2009 18:09 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak jsem zkousel ruzne kombinace az jsem v tom docista zamotal. Kazdopadne co potrebuji je, kdyz zadam u sebe "ping google.com", pak aby ten paket letel napred na vpn server a az pak do sveta. Je toto zalezitost nastaveni routovani u klienta nebo musim provest i nejake zasahy do routovaci tabuly serveru?

    cynic_asshole avatar 25.9.2009 18:39 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Na serveru musíš zapnout předávání packetů (FORWARDING)

    echo "1" > /proc/sys/net/ipv4/ip_forward
    Neznáš nějakou linuxovou distribuci pro Windows?
    25.9.2009 20:33 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, forwarding jsem zapnul.

    Routing table vypada takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    

    a traceroute na google takto:

    $ traceroute google.com
    traceroute to google.com (74.125.45.100), 30 hops max, 40 byte packets
     1  10.0.1.100 (10.0.1.100)  28.969 ms  41.833 ms  29.416 ms
     2  * *
    

    To znamena, ze na vpn server do dojde, ale co se stane pak? Proc to nefunguje?

    29.9.2009 10:11 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Na ten vpn server to vypadá že dojde... teď bude problém na něm. (nat, routing, policy, filtry...).

    Podle toho co vidím hádám, že jste ještě nezměnil dns směrem k dns serveru, který slouží u toho vpn serveru... při provozu se mohou objevit některé problémy s nečekanou odpovědí na dns dostaz (hlavně pokud bude server v lokální síti vašeho poskytovatele připojení, nebo naopak v síti u vpn serveru). Dále můžete podle konfigurace pravděpodobně očekávat problémy s velkými rámci... no ale myslím, že teď Vám jde hlavně o ten ping, takže vše na serveru zkontrolovat, jestli je tak jak potřebujete.

    Vždyť jsou to jen jedničky a nuly ...
    DjAARA avatar 25.9.2009 20:24 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Zkusil bych po nastavení těch rout program traceroute, například traceroute 74.125.67.100, aby jsme viděli, kudy se snaží s danou ip adresou spojit. Pokud bude jako první skok VPN server na druhé straně, tak pak bude chyba na něm (možná nepovolený ip_forward, firewall, překlad adres?).
    25.9.2009 20:40 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, takze viz muj prispevek vyse, traceroute ukazal ze ping leti na VPN server. Na serveru je zapnuty ip_forward. Jak nyni zjistim blize cim to muze byt?

    25.9.2009 21:52 linuxik | skóre: 32 | Milovice
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Nastavenim firewallu nebo SNAT/Maskarady.

    25.9.2009 22:12 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Muzete byt prosim konkretnejsi, tohle zrovna nejsou veci, ve kterych bych se vyznal...

    27.9.2009 17:50 pupala | skóre: 20
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Aká je IP adresa brány, ktorú používa sieť za OpenVPN serverom? 10.0.1.100 ? Alebo 10.0.1.100 je IP OpenVPN servera?
    27.9.2009 20:10 pupala | skóre: 20
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Pošli ešte route -n a ifconfig zo servera.
    25.9.2009 23:01 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Pokud se jedna o OpenVPN, co volba push "redirect-gateway" ?
    Překladač ti nikdy neřekne: "budeme kamarádi"
    26.9.2009 14:49 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak jsem tento radek zapsal do konfigurace serveru a restartoval ho, ale stale to same...

    Pokud mam routing tabe takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
    
    

    tak mohu pingovat vnitrni IP serveru (10.0.1.100), ale nemohu pingovat google. Navic traceroute google.com ukazuj toto:

     traceroute google.com
    traceroute: Warning: google.com has multiple addresses; using 74.125.67.100
    traceroute to google.com (74.125.67.100), 30 hops max, 40 byte packets
     1  * * *
     2  * *
    

    neukazuje zadny skok, takze ani nevim kam ten ICMP paket leti. Zkusil jsem tedy odstranit default gw 192.168.0.1, potom routovaci tabulka vypada takto:

    $ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
    10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
    0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
    

    Stale mohu pingovat 10.0.1.100, google.com nemuzu. Traceroute vsak uz ukazuje toto:

    $ traceroute g
    traceroute to www.google.com (74.125.45.100), 30 hops max, 40 byte packets
     1  10.0.1.100 (10.0.1.100)  29.738 ms  34.632 ms  28.715 ms
     2  * * *
    

    Takze pingovaci paket dorazi alespon na VPN server. Jinak ze serveru (10.0.1.100) muzu sebe pingovat (10.0.1.1). Nejake navrhy co zkusit nyni?

    26.9.2009 16:37 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Zkontrolujte, zda je opravdu povolený ip_forward na serveru:
    cat /proc/sys/net/ipv4/ip_forward
    musí vrátit 1

    pokud ano tak je ještě potřeba nastavit na serveru iptables:
    1) nesmí pakety zahazovat (tabulka filter)
    2) musí provádět maškarádu (tabulka nat)
    zkuste vypsat obě tabulky:
    iptables -t filter -vnL
    iptables -t nat -vnL
    tabulka pro filtrování by měla vypadat nějak takto:
    Chain FORWARD (policy DROP)
    ACCEPT     all  --  tap0    eth0    0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  eth0   tap0     0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    
    za předpokladu že eth0 je rozhraní směrující k poskytovateli

    tabulka pro natování by měla vypadat nějak takto:
    Chain POSTROUTING (policy ACCEPT)
    MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    
    za předpokladu že eth0 je rozhraní směrující k poskytovateli

    je vhodné povolit pouze vnitřní podsíť, ale není to nutné.

    iptables musí být také zapnuté - stav iptables se dá obvykle zjistit pomocí
    /etc/init.d/iptables status

    Pokud problémy přetrvají můžete zkusit nějaký sniffer na serveru (tshark nebo wireshark) velmi vám to pomůže zjistit kde je problém.
    Někdy je lepší místo traceroute použít příkaz ping s parametrem -t # kde za # dosadíte číslo hopu.
    26.9.2009 18:22 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    brea:/home/user# cat /proc/sys/net/ipv4/ip_forward
    1
    brea:/home/user# /etc/init.d/iptables status
    bash: /etc/init.d/iptables: No such file or directory
    brea:/home/user# iptables -t filter -vnL
    WARNING: All config files need .conf: /etc/modprobe.d/nvidia-kernel-nkc, it will be ignored in a future release.
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    brea:/home/user# iptables -t nat -vnL
    Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    
    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
    brea:/home/user#
    
    27.9.2009 12:08 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Ano jak sem řekl .. bez maškarády vám to fungovat nemůže..
    zkuste:
    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE
    za eth0 dosaďte rozhraní směrující k internetu.

    pokud vám to stále nepude, zkuste nainstalovat tshark a spustit ho:
    tshark -i tap0
    a pingovat od klienta někam ven. Na tsharku uvidíte příchozí ICMP pakety zdrojová ip by měla být lokální ip klienta a cílová by měla být schodná s cílovou ip.
    Pak zkuste spustit tshark na rozhraní k ISP:
    tshark -i eth0
    Měli by být vidět pakety odcházející k ISP a zdrojová adresa by se měla změnit za veřejnou ip adresu serveru.
    Opačná změna by se měla dít pro příchozí pakety.
    Pro zvýšení bezpečnosti byste měl vytvořit i záznamy ve filtrovací tabulce.
    Nezapomeňte si pak uložit nastavení iptables (příkaz iptables-save) obnova (iptables-restore).
    Vaše distribuce by ale měla mít vestavěný nastavování iptables, takže pokud možno použijte to.
    27.9.2009 16:00 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, udelal jsem to presne podle toho navodu. Pri sudo tshark -i tap0 jsem videl toto:

    69.272133     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request
    

    Takze to je presne jak jste psal, ale pri tshark -i eth1 vidim take toto:

    0.504699     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request
    

    Takze zdrojova adresa se na verejnou IP adresu serveru neprepsala... proc?

    Jinak distribuce bezici na serveru je debian.

    27.9.2009 16:04 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Btw, maska te vnitri site (10.0.1.*) je 255.255.255.0 - coz neodpovida tomu /24 z toho iptables pravidla co jste psal - muze toto zpusobovat problemy?

    27.9.2009 19:31 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Odpovídá - /24 je ekvivalentní k 255.255.255.0
    27.9.2009 19:54 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Tak bude pravděpodobně problém v maškarádě.
    Zkuste iptables -t nat -vnL
    co nyní příkaz vypíše?
    nalevo (pkts) by mělo být uvedeno kolikrát se pravidlo ujalo. Pokud je tam nula tak se zřejmě nesplní nějaké kritérium, nebo pokud je i v POSTROUTING (0 packets), tak se z nějakého důvodu neprovádí POSTROUTING.
    Možná bude potřeba iptables nějak zapnout.
    28.9.2009 09:31 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Chain POSTROUTING (policy ACCEPT 6210 packets, 487K bytes)
     pkts bytes target     prot opt in     out     source               destination
        0     0 MASQUERADE  all  --  *      eth0    10.0.1.0/24          0.0.0.0/0
    

    Co tedy ta maska 10.0.1.0/24 - viz muj prispevek nad vasim, muze prave ta maska byt kriteriem co se nesplni?. Distribuce je debian, soubor /etc/init.d/iptables ale neexistuje. V systemu jsou tyto prikazy:

    $ sudo iptables
    iptables          iptables-apply    iptables-restore  iptables-save     iptables-xml
    
    DjAARA avatar 28.9.2009 10:23 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Jak již bylo řečeno výše, maska /24 je to samé jako 255.255.255.0. Viz například
    $ ipcalc 10.0.1.0/24
    Address:   10.0.1.0             00001010.00000000.00000001. 00000000
    Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
    Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
    =>
    Network:   10.0.1.0/24          00001010.00000000.00000001. 00000000
    HostMin:   10.0.1.1             00001010.00000000.00000001. 00000001
    HostMax:   10.0.1.254           00001010.00000000.00000001. 11111110
    Broadcast: 10.0.1.255           00001010.00000000.00000001. 11111111
    Hosts/Net: 254                   Class A, Private Internet
    28.9.2009 11:34 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Aha, nejak jsem si toho nevsiml, uz je mi to jasne...

    28.9.2009 12:16 tomk
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Pro jistotu bych se zeptal na dve otazky:

    1) Ten vypis iptables je proveden na serveru?

    2) eth0 - je rozhrani mirici do Internetu? Protoze o kousek vyse bylo pro sledovani provozu tsharkem na internetovem rozhrani dosazovano "-i eth1"

    Tomas

     

    28.9.2009 22:18 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    1) ano

    2) eth1 je rozhrani mirici do internetu, eth0 na danem pocitaci (serveru) je disabled.

    28.9.2009 23:12 tomk
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak v tom pripade je jasne, ze to co ve vypisu

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE

    nesedi je parametr -o eth0. Jak je uz ostatne napsano i v dalsich prispevcich.

    Tomas

    28.9.2009 12:53 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Je evidentní, že pakety prochájí, takže iptables a POSTROUTING běží, problém je v tom, že se nenačítá pkts. To znamená, že se nesplní nějaké kritérium (jak už jsem psal). Je tedy eth0 skutečně rozhraním směrujícím k ISP ?
    jak jsem psal "za eth0 dosaďte rozhraní směrující k internetu".
    podle vašeho tshark -i eth1 bych soudil, že tam má být eth1.
    28.9.2009 12:59 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Aby to teda bylo uplně jasné, zkuste:
    iptables -t nat -F POSTROUTING
    iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE
    
    28.9.2009 20:23 pupala | skóre: 20
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Inak tap je rozhranie pre bridge a neroutuje sa cez neho, na to je tun. Default routa na klientovi openvpn musi byť presne tá istá ako na serveri, ak je použité rozhranie tap. Zato som chcel v predošlom výpis ifconfig a route -n zo servera.
    29.9.2009 19:53 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ano, dekuji, spletl jsem to, pouzil jsem eth0 misto eth1, ted uz mohu pingovat do internetu.

    Mam vsak jeste jeden dotaz. Proc nefunguje traceroute (treba google.com) - vystupem jsou jen hvezdicky a nevidim zadne hopy i kdyz je jasne ze ten pozadavek projde tam i zpet.

    houska avatar 29.9.2009 19:57 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    nedela to dnska? zkus pingat ip adresu (napr. 77.75.76.3)
    29.9.2009 20:35 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Pingovani domenovych jmen i IP adres funguje. Co nefunguje je traceroute.

    houska avatar 29.9.2009 20:38 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    mno tak jediny co me napada ze ti nekdo blokuje UDP na portu 53 na kterem traceroute funguje, zkus jiny port
    29.9.2009 20:57 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    No celkem pochybuju ze 53 je blokovany, ale muzu to vyzkouset, jak donutim traceroute pouzit jiny port?

    houska avatar 30.9.2009 08:25 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    man traceroute
    1.10.2009 14:29 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    traceroute vybere náhodný UDP port a pak ho s každým paketem incrementuje. Mení divu, že vám to nefunguje. Zkuste použít traceroute s parametrem -I pak se použije ICMP. Pokud použijete parametr -p tak vám to stejně nepude, protože tím parametrem nastavujete jen počáteční port, ale pro další pakety se použijí vyšší porty. Pokud použijete -I tak se odešle standardní ping request a odpovědi se rozliší podle shody identifikátorů a sekvenčního čísla v ICMP paketu.
    26.9.2009 16:44 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Co vypíše iptables -L a iptables -t nat -L na serveru?
    Překladač ti nikdy neřekne: "budeme kamarádi"
    26.9.2009 18:23 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    brea:/home/user# iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    brea:/home/user# iptables -t nat -L
    Chain PREROUTING (policy ACCEPT)
    target     prot opt source               destination
    
    Chain POSTROUTING (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    brea:/home/user#
    

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.