abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky

inzerujte » Pracovní nabídky
    EmacsConf 2023
    dnes 09:44 | Komunita

    O víkendu (15:00 až 23:00) probíhá EmacsConf 2023, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji lze na stránkách konference. Záznamy jsou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 0
    Týden v GNOME a Týden v KDE (1. prosince 2023)
    včera 17:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek i s náhledy aplikací v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 3
    Apache NetBeans 20
    1.12. 21:55 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 20 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    Cinnamon 6.0
    1.12. 17:22 | Nová verze

    Desktopové prostředí Cinnamon, vyvíjené primárně pro distribuci Linux Mint, dospělo do verze 6.0. Seznam změn obsahuje především menší opravy a v říjnovém přehledu novinek v Mintu avizovanou experimentální podporu Waylandu.

    Fluttershy, yay! | Komentářů: 4
    OpenZFS 2.2.2 a 2.1.14
    1.12. 13:44 | Nová verze

    OpenZFS (Wikipedie), tj. implementace souborového systému ZFS pro Linux a FreeBSD, byl vydán ve verzích 2.2.2 a 2.1.14. Přináší důležitou opravu chyby vedoucí k možnému poškození dat.

    Ladislav Hagara | Komentářů: 0
    Kritické zranitelnosti v ownCloudu (CVE-2023-49103, CVE-2023-49104 a CVE-2023-49105)
    1.12. 12:00 | Bezpečnostní upozornění

    V ownCloudu byly nalezeny tři kritické zranitelnosti: CVE-2023-49103, CVE-2023-49104 a CVE-2023-49105 s CVSS 10.0, 8.7 a 9.8. Zranitelnost CVE-2023-49103 je právě využívána útočníky. Nextcloudu se zranitelnosti netýkají.

    Ladislav Hagara | Komentářů: 0
    Ajťácké adventní kalendáře 2023
    1.12. 08:00 | IT novinky

    I letos vychází řada ajťáckých adventních kalendářů. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2023. Pro programátory v Perlu je určen Perl Advent Calendar 2023. Zájemci o UX mohou sledovat Lean UXmas 2023. Pro zájemce o kybernetickou bezpečnost je určen Advent of Cyber 2023

    Ladislav Hagara | Komentářů: 0
    Flowblade 2.12
    1.12. 07:00 | Nová verze

    Byla vydána verze 2.12 svobodného video editoru Flowblade (GitHub, Wikipedie). Přehled novinek v poznámkách k vydání. Videoukázky funkcí Flowblade na Vimeu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    Armbian 23.11 Topi
    30.11. 21:11 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 23.11 Topi. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Godot 4.2
    30.11. 16:22 | Nová verze

    Po 4 měsících vývoje byla vydána nová verze 4.2 multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu a na YouTube.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Řešíte úlohy z ajťáckých adventních kalendářů?
     (44%)
     (16%)
     (41%)
    Celkem 32 hlasů
     Komentářů: 0
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nejde naroutovat cesta
    Štítky: server, sudo, VIA, VPN

    Dotaz: Nejde naroutovat cesta

    24.9.2009 17:24 LANman
    Nejde naroutovat cesta
    Přečteno: 1179×

    Dobry den, zprovoznil jsem si na serveru vpn, po pripojeni se mi vytvori zarizeni tap0 a dostanu na nej IP adresu. Jedine, co mi zbyva, je naroutovat vsechen provoz z meho pocitace na dany server. Tyto pokusy vsak selhavaji:

    $ sudo route add -net 0.0.0.0 gw ip_serveru dev tap0
SIOCADDRT: No such process
$ sudo ip route add 0.0.0.0/1 via ip_serveru dev tap0
RTNETLINK answers: No such process

    Cim to muze byt zpusobeno?

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    houska avatar 24.9.2009 18:27 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    ip route add default via xx dev yyy?
    24.9.2009 18:53 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    S největší pravděpodobností na zařízení tap0 není nakonfigurována podsíť ve které se nachází ip adresa serveru. Musíte zadat tu ip adresu serveru, kterou má server nastavenou pro VPN síť. Nejprve prověřte, zda funguje ping na vnitřní ip adresu serveru, pak má teprve smysl zkoušet nastavit routu. Dále si uvědomte, že po nastavení defaultní routy bude opravdu všechen provoz směrován přez VPN takže i pakety tunelu, proto nejdříve nastavte výjimku pro dosažení veřejné ip adresy serveru, tak aby pakety směřovali přes stávající bránu
    ip route add veřejná_ip_serveru/32 via stávající_brána
    jinak vám nepude vůbec nic. A default je 0.0.0.0/0 a ne 0.0.0.0/1.
    25.9.2009 11:26 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Dekuji za podrobny popis, bohuzel me znalosti siti nejsou zas tak vysoke, mozna kdybyste mi to vysvetlil primo na me konfiguraci.

    Jeste nez se pripojim na vpn tak to vypada takto:

    $ ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr 00:13:E7:5F:19:1A
          inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::213:e8ff:fe5f:181f/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:26656 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19541 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:19848505 (18.9 Mb)  TX bytes:4006347 (3.8 Mb)
$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

    Po pripojeni na vpn se objevi interface tap0:

    $ ifconfig tap0
tap0      Link encap:Ethernet  HWaddr 36:F8:AF:73:D8:56
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          inet6 addr: fe80::34f8:afff:fe73:d856/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:238 (238.0 b)

    a routovaci tabulka vypada takto:

    $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

    Verejna IP adresa vpn serveru je pro zjednoduseni 1.2.3.4 a jeho adresa ve VPN siti je 10.0.1.100. Maska ve VPN siti je 255.255.255.0. ping 10.0.1.100 funguje. Co mam tedy udelat ted?

    25.9.2009 11:59 čavo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    route add -host 1.2.3.4 gw 192.168.0.1 ; udelenie vynimky pre VPN server

    route add default gw 10.0.1.100 ; presmerovanie celej prevadzky cez server VPN

    Netestol som to, Hádam som sa nepomýlil.
    25.9.2009 13:26 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Po teto akci vypada routing table takto:

    $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

    10.0.1.100 pingovat mohu, ale do internetu nemohu (ping google.com nefunguje)

    25.9.2009 18:09 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak jsem zkousel ruzne kombinace az jsem v tom docista zamotal. Kazdopadne co potrebuji je, kdyz zadam u sebe "ping google.com", pak aby ten paket letel napred na vpn server a az pak do sveta. Je toto zalezitost nastaveni routovani u klienta nebo musim provest i nejake zasahy do routovaci tabuly serveru?

    cynic_asshole avatar 25.9.2009 18:39 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Na serveru musíš zapnout předávání packetů (FORWARDING)

    echo "1" > /proc/sys/net/ipv4/ip_forward
    Neznáš nějakou linuxovou distribuci pro Windows?
    25.9.2009 20:33 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, forwarding jsem zapnul.

    Routing table vypada takto:

    $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0

    a traceroute na google takto:

    $ traceroute google.com
traceroute to google.com (74.125.45.100), 30 hops max, 40 byte packets
 1  10.0.1.100 (10.0.1.100)  28.969 ms  41.833 ms  29.416 ms
 2  * *

    To znamena, ze na vpn server do dojde, ale co se stane pak? Proc to nefunguje?

    29.9.2009 10:11 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Na ten vpn server to vypadá že dojde... teď bude problém na něm. (nat, routing, policy, filtry...).

    Podle toho co vidím hádám, že jste ještě nezměnil dns směrem k dns serveru, který slouží u toho vpn serveru... při provozu se mohou objevit některé problémy s nečekanou odpovědí na dns dostaz (hlavně pokud bude server v lokální síti vašeho poskytovatele připojení, nebo naopak v síti u vpn serveru). Dále můžete podle konfigurace pravděpodobně očekávat problémy s velkými rámci... no ale myslím, že teď Vám jde hlavně o ten ping, takže vše na serveru zkontrolovat, jestli je tak jak potřebujete.

    Vždyť jsou to jen jedničky a nuly ...
    DjAARA avatar 25.9.2009 20:24 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Zkusil bych po nastavení těch rout program traceroute, například traceroute 74.125.67.100, aby jsme viděli, kudy se snaží s danou ip adresou spojit. Pokud bude jako první skok VPN server na druhé straně, tak pak bude chyba na něm (možná nepovolený ip_forward, firewall, překlad adres?).
    DjAARA's blog
    25.9.2009 20:40 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, takze viz muj prispevek vyse, traceroute ukazal ze ping leti na VPN server. Na serveru je zapnuty ip_forward. Jak nyni zjistim blize cim to muze byt?

    25.9.2009 21:52 linuxik | skóre: 32 | Milovice
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Nastavenim firewallu nebo SNAT/Maskarady.

    25.9.2009 22:12 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Muzete byt prosim konkretnejsi, tohle zrovna nejsou veci, ve kterych bych se vyznal...

    27.9.2009 17:50 pupala | skóre: 21
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Aká je IP adresa brány, ktorú používa sieť za OpenVPN serverom? 10.0.1.100 ? Alebo 10.0.1.100 je IP OpenVPN servera?
    27.9.2009 20:10 pupala | skóre: 21
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Pošli ešte route -n a ifconfig zo servera.
    25.9.2009 23:01 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Pokud se jedna o OpenVPN, co volba push "redirect-gateway" ?
    Překladač ti nikdy neřekne: "budeme kamarádi"
    26.9.2009 14:49 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak jsem tento radek zapsal do konfigurace serveru a restartoval ho, ale stale to same...

    Pokud mam routing tabe takto:

    $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0

    tak mohu pingovat vnitrni IP serveru (10.0.1.100), ale nemohu pingovat google. Navic traceroute google.com ukazuj toto:

     traceroute google.com
traceroute: Warning: google.com has multiple addresses; using 74.125.67.100
traceroute to google.com (74.125.67.100), 30 hops max, 40 byte packets
 1  * * *
 2  * *

    neukazuje zadny skok, takze ani nevim kam ten ICMP paket leti. Zkusil jsem tedy odstranit default gw 192.168.0.1, potom routovaci tabulka vypada takto:

    $ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
158.194.136.86  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
10.0.1.0        0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         10.0.1.100      0.0.0.0         UG    0      0        0 tap0

    Stale mohu pingovat 10.0.1.100, google.com nemuzu. Traceroute vsak uz ukazuje toto:

    $ traceroute g
traceroute to www.google.com (74.125.45.100), 30 hops max, 40 byte packets
 1  10.0.1.100 (10.0.1.100)  29.738 ms  34.632 ms  28.715 ms
 2  * * *

    Takze pingovaci paket dorazi alespon na VPN server. Jinak ze serveru (10.0.1.100) muzu sebe pingovat (10.0.1.1). Nejake navrhy co zkusit nyni?

    26.9.2009 16:37 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Zkontrolujte, zda je opravdu povolený ip_forward na serveru:
    cat /proc/sys/net/ipv4/ip_forward
    musí vrátit 1

    pokud ano tak je ještě potřeba nastavit na serveru iptables:
    1) nesmí pakety zahazovat (tabulka filter)
    2) musí provádět maškarádu (tabulka nat)
    zkuste vypsat obě tabulky:
    iptables -t filter -vnL
    iptables -t nat -vnL
    tabulka pro filtrování by měla vypadat nějak takto:
    Chain FORWARD (policy DROP)
ACCEPT     all  --  tap0    eth0    0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  eth0   tap0     0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    za předpokladu že eth0 je rozhraní směrující k poskytovateli

    tabulka pro natování by měla vypadat nějak takto:
    Chain POSTROUTING (policy ACCEPT)
MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    za předpokladu že eth0 je rozhraní směrující k poskytovateli

    je vhodné povolit pouze vnitřní podsíť, ale není to nutné.

    iptables musí být také zapnuté - stav iptables se dá obvykle zjistit pomocí
    /etc/init.d/iptables status

    Pokud problémy přetrvají můžete zkusit nějaký sniffer na serveru (tshark nebo wireshark) velmi vám to pomůže zjistit kde je problém.
    Někdy je lepší místo traceroute použít příkaz ping s parametrem -t # kde za # dosadíte číslo hopu.
    26.9.2009 18:22 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta 
    brea:/home/user# cat /proc/sys/net/ipv4/ip_forward
1
brea:/home/user# /etc/init.d/iptables status
bash: /etc/init.d/iptables: No such file or directory
brea:/home/user# iptables -t filter -vnL
WARNING: All config files need .conf: /etc/modprobe.d/nvidia-kernel-nkc, it will be ignored in a future release.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
brea:/home/user# iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
brea:/home/user#
    27.9.2009 12:08 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Ano jak sem řekl .. bez maškarády vám to fungovat nemůže..
    zkuste:
    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE
    za eth0 dosaďte rozhraní směrující k internetu.

    pokud vám to stále nepude, zkuste nainstalovat tshark a spustit ho:
    tshark -i tap0
    a pingovat od klienta někam ven. Na tsharku uvidíte příchozí ICMP pakety zdrojová ip by měla být lokální ip klienta a cílová by měla být schodná s cílovou ip.
    Pak zkuste spustit tshark na rozhraní k ISP:
    tshark -i eth0
    Měli by být vidět pakety odcházející k ISP a zdrojová adresa by se měla změnit za veřejnou ip adresu serveru.
    Opačná změna by se měla dít pro příchozí pakety.
    Pro zvýšení bezpečnosti byste měl vytvořit i záznamy ve filtrovací tabulce.
    Nezapomeňte si pak uložit nastavení iptables (příkaz iptables-save) obnova (iptables-restore).
    Vaše distribuce by ale měla mít vestavěný nastavování iptables, takže pokud možno použijte to.
    27.9.2009 16:00 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ok, udelal jsem to presne podle toho navodu. Pri sudo tshark -i tap0 jsem videl toto:

    69.272133     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request

    Takze to je presne jak jste psal, ale pri tshark -i eth1 vidim take toto:

    0.504699     10.0.1.1 -> 74.125.45.100 ICMP Echo (ping) request

    Takze zdrojova adresa se na verejnou IP adresu serveru neprepsala... proc?

    Jinak distribuce bezici na serveru je debian.

    27.9.2009 16:04 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Btw, maska te vnitri site (10.0.1.*) je 255.255.255.0 - coz neodpovida tomu /24 z toho iptables pravidla co jste psal - muze toto zpusobovat problemy?

    27.9.2009 19:31 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Odpovídá - /24 je ekvivalentní k 255.255.255.0
    27.9.2009 19:54 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Tak bude pravděpodobně problém v maškarádě.
    Zkuste iptables -t nat -vnL
    co nyní příkaz vypíše?
    nalevo (pkts) by mělo být uvedeno kolikrát se pravidlo ujalo. Pokud je tam nula tak se zřejmě nesplní nějaké kritérium, nebo pokud je i v POSTROUTING (0 packets), tak se z nějakého důvodu neprovádí POSTROUTING.
    Možná bude potřeba iptables nějak zapnout.
    28.9.2009 09:31 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta 
    Chain POSTROUTING (policy ACCEPT 6210 packets, 487K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    10.0.1.0/24          0.0.0.0/0

    Co tedy ta maska 10.0.1.0/24 - viz muj prispevek nad vasim, muze prave ta maska byt kriteriem co se nesplni?. Distribuce je debian, soubor /etc/init.d/iptables ale neexistuje. V systemu jsou tyto prikazy:

    $ sudo iptables
iptables          iptables-apply    iptables-restore  iptables-save     iptables-xml
    DjAARA avatar 28.9.2009 10:23 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Jak již bylo řečeno výše, maska /24 je to samé jako 255.255.255.0. Viz například 
    $ ipcalc 10.0.1.0/24
Address:   10.0.1.0             00001010.00000000.00000001. 00000000
Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
=>
Network:   10.0.1.0/24          00001010.00000000.00000001. 00000000
HostMin:   10.0.1.1             00001010.00000000.00000001. 00000001
HostMax:   10.0.1.254           00001010.00000000.00000001. 11111110
Broadcast: 10.0.1.255           00001010.00000000.00000001. 11111111
Hosts/Net: 254                   Class A, Private Internet
    DjAARA's blog
    28.9.2009 11:34 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Aha, nejak jsem si toho nevsiml, uz je mi to jasne...

    28.9.2009 12:16 tomk
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Pro jistotu bych se zeptal na dve otazky:

    1) Ten vypis iptables je proveden na serveru?

    2) eth0 - je rozhrani mirici do Internetu? Protoze o kousek vyse bylo pro sledovani provozu tsharkem na internetovem rozhrani dosazovano "-i eth1"

    Tomas

     

    28.9.2009 22:18 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    1) ano

    2) eth1 je rozhrani mirici do internetu, eth0 na danem pocitaci (serveru) je disabled.

    28.9.2009 23:12 tomk
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Tak v tom pripade je jasne, ze to co ve vypisu

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.0/24 -j MASQUERADE

    nesedi je parametr -o eth0. Jak je uz ostatne napsano i v dalsich prispevcich.

    Tomas

    28.9.2009 12:53 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Je evidentní, že pakety prochájí, takže iptables a POSTROUTING běží, problém je v tom, že se nenačítá pkts. To znamená, že se nesplní nějaké kritérium (jak už jsem psal). Je tedy eth0 skutečně rozhraním směrujícím k ISP ?
    jak jsem psal "za eth0 dosaďte rozhraní směrující k internetu".
    podle vašeho tshark -i eth1 bych soudil, že tam má být eth1.
    28.9.2009 12:59 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Aby to teda bylo uplně jasné, zkuste:
    iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth1 -s 10.0.1.0/24 -j MASQUERADE
    28.9.2009 20:23 pupala | skóre: 21
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Inak tap je rozhranie pre bridge a neroutuje sa cez neho, na to je tun. Default routa na klientovi openvpn musi byť presne tá istá ako na serveri, ak je použité rozhranie tap. Zato som chcel v predošlom výpis ifconfig a route -n zo servera.
    29.9.2009 19:53 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Ano, dekuji, spletl jsem to, pouzil jsem eth0 misto eth1, ted uz mohu pingovat do internetu.

    Mam vsak jeste jeden dotaz. Proc nefunguje traceroute (treba google.com) - vystupem jsou jen hvezdicky a nevidim zadne hopy i kdyz je jasne ze ten pozadavek projde tam i zpet.

    houska avatar 29.9.2009 19:57 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    nedela to dnska? zkus pingat ip adresu (napr. 77.75.76.3)
    29.9.2009 20:35 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    Pingovani domenovych jmen i IP adres funguje. Co nefunguje je traceroute.

    houska avatar 29.9.2009 20:38 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    mno tak jediny co me napada ze ti nekdo blokuje UDP na portu 53 na kterem traceroute funguje, zkus jiny port
    29.9.2009 20:57 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta

    No celkem pochybuju ze 53 je blokovany, ale muzu to vyzkouset, jak donutim traceroute pouzit jiny port?

    houska avatar 30.9.2009 08:25 houska | skóre: 41 | blog: HW
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    man traceroute
    1.10.2009 14:29 Lefo
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    traceroute vybere náhodný UDP port a pak ho s každým paketem incrementuje. Mení divu, že vám to nefunguje. Zkuste použít traceroute s parametrem -I pak se použije ICMP. Pokud použijete parametr -p tak vám to stejně nepude, protože tím parametrem nastavujete jen počáteční port, ale pro další pakety se použijí vyšší porty. Pokud použijete -I tak se odešle standardní ping request a odpovědi se rozliší podle shody identifikátorů a sekvenčního čísla v ICMP paketu.
    26.9.2009 16:44 moira | skóre: 30 | blog: nesmysly
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta
    Co vypíše iptables -L a iptables -t nat -L na serveru?
    Překladač ti nikdy neřekne: "budeme kamarádi"
    26.9.2009 18:23 LANman
    Rozbalit Rozbalit vše Re: Nejde naroutovat cesta 
    brea:/home/user# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
brea:/home/user# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
brea:/home/user#

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.