Как настроить firewall linux для маршрутизации трафика из ppp* интерфейсов в локальную сеть?

Question

[Дмитрий Я]

Добрый вечер.
Имеется маршрутизатор на Debian и pptpd сервер.
Как настроить Firewall так, чтоб каждый клиент впн имел доступ к локальной сети, маршрутизатору, и главное - к выходу в интернет с удалённого хоста?
Порты GRE и TCP-1723 проброшены, устройства подключаются, но не видят удаленной локалки.
IP адреса клиентам VPN выдаются из то-же подсети, что и в локалке.
Подсеть локалки 192.168.10.0/24.
Идея в том, что сервер с VPN настроен таким образом, что позволяет обходить все блокировки через TOR, и замысел таков, чтоб смартфон подключался к серверу, и получал доступ к инету в обход блокировок.

Comments

[hint000]

устройства подключаются, но не видят удаленной локалки

- через ping проверяли или как-то по-другому?
У вас на скриншоте показана цепочка INPUT и в ней, видимо всё нормально.
Смотрите цепочку FORWARD. Еще возможно, что проблема не в файрволе, а в маршрутизации.

Answer 1

[Andrej Gessel]

hint000,
полностью согласен, это стоит проверить и может быть добавить к вопросу. Ещё интересно где установлен dhcp сервер, не случаются ли колизии адресов, если два разных сервера раздают адреса из той же сети. А ещё пока я это писал задумался про маршрутизацию, получается, что сеть 192.168.10.0/24 доступна через 2 интерфейса, а значит 2 раза вписана в таблицу маршрутизации. А значит, когда ядро проверяет куда девать пакет, оно всегда берет одну из 2 рут, и я предположу, что одна из них имеет меньшую метрику(рута в локальную сеть) , а значит всегда используется.

Получается следующее: клиент через vpn посылает клиенту в локальной сети пинг, то есть пакет идёт с адреса скажем 192.168.10.4 на 192.168.10.3, приходит на сервер, сервер проверяет маршруты, выбирает наилучший, отправляет клиенту в локалке, он принимает, отправляет ответ через его стандартную руту, ответ приходит на сервер и тут происходит ошибка, сервер снова ищет лучшую руту для сети 192.168.10.0 и находит снова руту в локальную сеть. Это можно довольно легко проверить запустив tcpdump на прослушку пингов на всех клиентах серверах.
Итог: попробуй использовать другую сеть, проверь руты, может добавишь их сюда, для проверки.

Comments

[hint000]

Кстати да, я сначала подумал, ну мало ли, может через tap настроено (тогда бы ещё сходилось с фразой "IP адреса клиентам VPN выдаются из той-же подсети, что и в локалке"). Но теперь перечитал вопрос и понял - где вообще tap, а где GRE, 1723 и ppp*. Так что правда ваша. В случае с pptp нельзя выдавать адреса из локалки.