Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

przekierowanie pakietów gre przez nat na linuxie v-smart

https://593930.wb34atkl.asia/viewtopic.php?t=31188

Strona 1 z 2

przekierowanie pakietów gre przez nat na linuxie v-smart

: 04 sierpnia 2014, 15:45
autor: Pad19
Witam.

Mam lms od v-smart. Próbuję przerzucić przez nat ruch gre niestety bezskutecznie.

eth0 - port wan
eth1 - lan

Cały inny ruch tcp/udp przerzuca bez problemu, różne porty jednakże nie gre.
Dodałem moduły:

Kod: Zaznacz cały

modprobe nf_nat_proto_gre 
modprobe nf_conntrack_proto_gre 
modprobe nf_conntrack_pptp 
modprobe nf_nat_pptp 
modprobe ip_nat_pptp 
modprobe ip_conntrack_pptp
oraz regułkę do iptables:

Kod: Zaznacz cały

iptables -A PREROUTING -d 192.168.155.4/32 -i eth0 -p 47 -j DNAT --to-destination 192.168.12.9
Na interfejsie eth0 widzę ruch gre pod tcpdump w obie strony, ale niestety na eth1 widzę tylko pakiety z urządzenia za natem na świat.

eth0

Kod: Zaznacz cały

11:50:24.838579 IP 195.254.170.3 > 192.168.155.4: GREv1, call 25862, no-payload, length 183 
11:50:44.141823 IP 192.168.12.9 > 195.254.170.3: GREv1, call 25862, no-payload, length 148

eth1

Kod: Zaznacz cały

12:02:44.155290 IP 192.168.12.9 > 195.254.170.3: GREv1, call 25862, no-payload, length 148

Jak zmienię w regułce np. tylko na tcp wszystko będzie działać, przy gre nie chce. Może samej kompilacji iptables w v-smart brakuje czegoś do przerzucenia gre?

Reguły firewalla nie blokują, po wykonaniu iptables -F czyli każda polityka na accept, pozostawiając wpisy natu, problem nadal występuje.

Pozdrawiam.

: 04 sierpnia 2014, 17:56
autor: markossx
GRE w tym wydaniu potrzebuje jeszcze PPTP, więc pokombinuj jeszcze.

: 04 sierpnia 2014, 18:43
autor: Pad19
Nie rozumiem co mam pokombinować. Zestawiam tunel EOIP, PPTP działa trochę inaczej, np wymienia także komunikację po 1723 TCP. EOIP wymienia tylko pakiety gre

: 04 sierpnia 2014, 20:00
autor: markossx
Zrobisz mapkę, bo nie do końca łapie o co chodzi.

: 04 sierpnia 2014, 20:14
autor: dedito
Nie kojarze co to jest to gre, rozumiem, że jaki protokół.
Jeżeli cel znajduje się gdzieś w sieci LAN zezwól też na forward:

Kod: Zaznacz cały

iptables -A FORWARD -p gre -j ACCEPT

: 04 sierpnia 2014, 20:22
autor: Pad19
FORWARD jest dla wszystkiego na ACCEPT, wszelkie reguły firewall wyłączone (oprócz nat), polityka domyślna na accept

Mam wiele takich lokalizacji, nieraz działa dobrze, nieraz nie i nie wiadomo zbytnio dlaczego. Np w innej jest nat 1:1, nie tylko protokół gre. Nadal nic to nie daje.

iptables -t nat -A PREROUTING -d 193.106.155.8/32 -j DNAT --to-destination 192.168.12.9

tcp, udp, icmp przechodzą, gre nie

: 04 sierpnia 2014, 20:30
autor: markossx
Zrób mapkę, jakie urządzenia za i przed routerem, spróbujemy to ogarnąć.

: 04 sierpnia 2014, 20:45
autor: dedito
Wujek google podpowiada jeszcze jedną regułkę:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth0 -p tcp --sport 1024:65535 -d [color=#333333]192.168.155.4/32[/color] --dport 1723 -j DNAT --to-destination [color=#333333]192.168.12.9[/color]
Ale z tego co widzę próbowałeś już przekierować cały ruch przy celu 193.106.155.8/32 więc to powyższe nie powinno pomóc.
Widzę, że coś tu jest zamieszane bo najpierw operujesz adresem z puli prywatnej, teraz podajesz publiczne ip.

: 04 sierpnia 2014, 20:51
autor: Pad19
To nic nie daje, tak jak pisałem, port 1723 tcp jest potrzebny do PPTP, ja zestawiam EOIP czyli tylko protokół gre. W tej chwili jest NAT 1:1, każdy protokół i port z adresu publicznego 193.106.155.8 jest przekierowany za nat do 192.168.155.8. Wszystkie usługi na protokołach TCP, UDP, ICMP działają poprawnie, pakiety przechodzą. Tylko jest problem z protokołem GRE
Sama konfiguracja EOIP z obu stron jest dobra, sprawdzałem już 100razy czy nie popełniony został błąd, mam identycznie w kilkudziesięciu innych lokalizacjach.
Załącznik eoip-rysunek.jpg nie jest już dostępny

: 04 sierpnia 2014, 20:56
autor: Pad19
dedito pisze:
Widzę, że coś tu jest zamieszane bo najpierw operujesz adresem z puli prywatnej, teraz podajesz publiczne ip.
Bo już to któraś z kolei lokalizacja w której mam problem :) Minimalnie różnią się konfiguracją, aczkolwiek zawsze problem występuje na routerze linux u innego operatora, do którego zestawiam tunel EOIP. Nie przechodzą te pakiety gre. Jak, ktoś zna się na tunelach GRE, analizie pakietów itp to może mi napisać prywatną wiadomość z nr telefonu, chętnie zadzwonię i wyjaśnię dokładnie o co chodzi i zapłacę za rozwiązanie problemu. Zaznaczam tylko, że jakby problem był prosty typu 30min szukania w google, to już dawno bym to zrobił :)
Strefa czasowa UTC+01:00
Strona 1 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl