Re: Странности с NAT.

[Oleg Frolkov <info@of.pp.ru>]

Andrey Lyubimets пишет:
> Oleg Frolkov пишет:
> > Приветствую. Всю ночь бьюсь с непонятным поведением NAT, или tcpdump....
> >
> > В общем ситуация такая
> > WAN<->ADSL<->ROUER<->Comp
> Написано много, понятно мало. Непонятно как у тебя организовано адсл 
> соединение - модем в режиме бриджа и pppoe на роутере или модем в 
> режиме "роутер" и получается двойной nat - на модеме и на роутере( но 
> тогда что за линк ppp10?)....
Сорри что плохо объяснил, как раз получается что имеет место быть 
двойной NAT. pppoe поднимается на модеме.
На модеме этот роутер указан как DMZ хост и на на роутере поднят NAT. 
Загружены модули ip_conntrack_pptp
и ip_nat_pptp (Насколько я понимаю они нужны для того чтобы через NAT 
ходили pptp сесиии.)

Так вот  компьютер с внутренней сети не может через эти 2 NAT-а поднять 
pptp соединения
с наружними хостами.

Аналогичная конфигурация в другом месте работает..... причем сегодня там 
даже поставил тот модем с которым
у меня ничего не получалось в предыдущем посте - т.е. это проблема не в 
NATе модема, через этот модем у меня
не работало а в другом месте работает.

При этом сам роутер может поднять pptp соединение с наружним хостом. Вот 
поднимаю я соединение с таким хостом
с роутера - получаю на роутере 2 рабочих интерфейса:
br-vlan10 - Мой интерфейс через который хожу в интернет.
ppp10 - Второй интерфейс через который хожу в удаленную локалку (там 
тоже есть интернет).

Теперь задача на компе с внутренней сети поднять еще одно pptp 
соединение до совершенно другого хоста
(ну предположим мне потребовалось поднять VPN до какой-то сети) - 
получаем облом если роутинг
до домашнего компа идет через br-vlan10.. если тут -же прописываю на 
роутере route add 1.2.3.4 dev ppp10
то pptp взлетает влет. То что я выспался ничуть не помогло..... в 
общем-то конфигурация достаточно примитивна.

Единственное за что можно зацепиться это странное поведение NAT или 
tcpdump. В общем с внутреннего
компьютера (192.168.11.11) запускаю ping 1.2.3.4

В tcpdump на br-vlan10 вижу
ping 192.168.11.11 -> 1.2.3.4
reply 1.2.3.4 ->192.168.1.11

Хотя должен видеть пинги не от внутреннего компьютера а от адреса 
внешнего интерфейса, уже это меня
удивило. Поначалу подумал что у меня на роутере не работает NAT а умный 
ADSL модем это все переваривает. Убрал
из конфига строчку с NAT - пинги перестали ходить... опять поствил - 
пошли, но какого фига я в tcpdump на
ВНЕШНЕМ интерфейсе вижу внутренние адреса? Мне это кто-то может объяснить?

Если роутинг до пингуемого хоста заворачиваю в поднятый тут-же ppp10 то 
вижу как положено
пинги уходят и приходят от адреса этого ppp интерфейса а не от 
внутренних адресов:

Пока я вижу разницу только в этом. Там где с поднятием pptp все в 
порядке - tcpdump на внешнем интерфейсе
показывает трафик с адресами этого внешнего интерфейса а не с внутренними.

В этот раз я чуть яснее объяснил проблему?

Кстати Ваш ответ увидел в рассылке, а вот своего вопроса не увидел :( - 
видимо где-то косяк.....

Оег.