Re: Странности с NAT.

[Andrey Lyubimets <andrey@nskes.ru>]

Oleg Frolkov пишет:
> > ...
> Сорри что плохо объяснил, как раз получается что имеет место быть 
> двойной NAT. pppoe поднимается на модеме.
> На модеме этот роутер указан как DMZ хост и на на роутере поднят NAT. 
> Загружены модули ip_conntrack_pptp
> и ip_nat_pptp (Насколько я понимаю они нужны для того чтобы через NAT 
> ходили pptp сесиии.)
>
> Так вот  компьютер с внутренней сети не может через эти 2 NAT-а поднять 
> pptp соединения
> с наружними хостами.
>
> Аналогичная конфигурация в другом месте работает..... причем сегодня там 
> даже поставил тот модем с которым
> у меня ничего не получалось в предыдущем посте - т.е. это проблема не в 
> NATе модема, через этот модем у меня
> не работало а в другом месте работает.
>
> При этом сам роутер может поднять pptp соединение с наружним хостом. Вот 
> поднимаю я соединение с таким хостом
> с роутера - получаю на роутере 2 рабочих интерфейса:
> br-vlan10 - Мой интерфейс через который хожу в интернет.
> ppp10 - Второй интерфейс через который хожу в удаленную локалку (там 
> тоже есть интернет).


> Теперь задача на компе с внутренней сети поднять еще одно pptp 
> соединение до совершенно другого хоста
> (ну предположим мне потребовалось поднять VPN до какой-то сети) - 
> получаем облом если роутинг
> до домашнего компа идет через br-vlan10.. если тут -же прописываю на 
> роутере route add 1.2.3.4 dev ppp10
> то pptp взлетает влет. То что я выспался ничуть не помогло..... в 
> общем-то конфигурация достаточно примитивна.
Я бы не сказал. Интересно было бы взглянуть на таблицу маршрутизации
> Единственное за что можно зацепиться это странное поведение NAT или 
> tcpdump. В общем с внутреннего
> компьютера (192.168.11.11) запускаю ping 1.2.3.4
>
> В tcpdump на br-vlan10 вижу
> ping 192.168.11.11 -> 1.2.3.4
> reply 1.2.3.4 ->192.168.1.11
>
> Хотя должен видеть пинги не от внутреннего компьютера а от адреса 
> внешнего интерфейса, уже это меня
> удивило. Поначалу подумал что у меня на роутере не работает NAT а умный 
> ADSL модем это все переваривает. Убрал
> из конфига строчку с NAT - пинги перестали ходить... опять поствил - 
Что за строчка-то?
> пошли, но какого фига я в tcpdump на
> ВНЕШНЕМ интерфейсе вижу внутренние адреса? 
> Мне это кто-то может объяснить?
Чудес-то не бывает -- имхо, NAT не работает на br-vlan10.
> Если роутинг до пингуемого хоста заворачиваю в поднятый тут-же ppp10 то 
> вижу как положено
> пинги уходят и приходят от адреса этого ppp интерфейса а не от 
> внутренних адресов:
а на ppp10 - работает!
> Пока я вижу разницу только в этом. Там где с поднятием pptp все в 
> порядке - tcpdump на внешнем интерфейсе
> показывает трафик с адресами этого внешнего интерфейса а не с внутренними.
>
> В этот раз я чуть яснее объяснил проблему?
Сейчас, конечно, понятнее.
Я бы
- добился нормальной работы nat на интерфейсе br-vlan (кстати, какой модуль 
реализует  br-vlan? может у этого модуля проблемы с nat?)
- проверил работу туннеля через модем (какая модель?) при опущеном ppp10 на 
router-е, мне кажется , что не все модемы позволяют пропускать через себя 
более одного pptp-соединения. Даже это следует проверить в первую очередь, и 
вообще,нужен ли nat на br-vlan или можно обойтись маршрутизацией?

Ну и tcpdump тебе в помощь!
> Кстати Ваш ответ увидел в рассылке, а вот своего вопроса не увидел :( - 
> видимо где-то косяк.....
>
> Оег.


--
С уважением, Любимец Андрей Алексеевич