Проблема в следующем.
Имеется локальная сеть, сервер который выполняет роль шлюза в интернет, сам серевер в интернет имеет выход через ADSL посредством соединения bridge, на сервере стоит FedoraCore. На сервере подняты сервисы:
- pptpd - для раздачи интернета по VPN клиентам локальной сети и некоторым сотрудникам предприятия которые находятся не в локальной сети
- httpd - для организации сайта предприятия
- DNS - первичный
- php, mysql и т.д. по вкусу
Так же на сервере организовано соединение по OpenVPN со статическим IP для получения дешевого внешнего Интернета на предприятие. Внешний канал на Webstream закрыт по причине экономии, собственно в связи с этим и был организован выход по OpenVPN.
eth0 - интерфейс связи с ADSL модемом
eth1 - интерфейс локальной сети
ppp0 - bridge (сервер-ADSL-Webstream)
tun0 - туннель OpenVPN до провайдера VPN
111.111.111.72 - статический IP выданный в Webstream
217.18.128.60 - IP ADSL на стороне Webstream
222.222.222.40 - статический IP выданный провайдером VPN (для соединения OpenVPN)
222.222.222.1 - IP адрес OpenVPN туннеля на стороне провайдера VPN
333.333.333.136 - IP адрес сервера провайдера VPN
Вся проблема заключается в том, что в принципе все работает кроме одного - сервер Web виден только в Томском Интернете, хотя по OpenVPN открыт канал со статическим IP адресом. С сервера нет выхода во внешний Интернет. Ниже выводы команд ifconfig, netstat и iproute-save:
eth0 Link encap:Ethernet HWaddr 00:E0:4C:15:71:B4
inet addr:192.168.1.90 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::2e0:4cff:fe15:71b4/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:30 errors:0 dropped:0 overruns:0 frame:0
TX packets:43 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3542 (3.4 KiB) TX bytes:3734 (3.6 KiB)
Interrupt:17 Base address:0x6000
eth1 Link encap:Ethernet HWaddr 00:11:95:5B:E6:5F
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::211:95ff:fe5b:e65f/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:69 errors:0 dropped:0 overruns:0 frame:0
TX packets:75 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6724 (6.5 KiB) TX bytes:9986 (9.7 KiB)
Interrupt:18 Base address:0x8000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2 errors:0 dropped:0 overruns:0 frame:0
TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:217 (217.0 TX bytes:217 (217.0
ppp0 Link encap:Point-to-Point Protocol
inet addr:111.111.111.72 P-t-P:217.18.128.60 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:22 errors:0 dropped:0 overruns:0 frame:0
TX packets:23 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2484 (2.4 KiB) TX bytes:1836 (1.7 KiB)
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:222.222.222.40 P-t-P:222.222.222.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 TX bytes:0 (0.0
[root@region70 ~]# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
217.18.128.60 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
333.333.333.136 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
222.222.222.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
[root@xxxxxx ~]# traceroute tomsknet.ru
traceroute to tomsknet.ru (217.18.130.27), 30 hops max, 40 byte packets
1 * * *
2 po6-core520.bbn.tomsknet.ru (217.18.130.202) 8.742 ms 9.678 ms 10.651 ms
3 po1-core520-1.bbn.tomsknet.ru (217.18.129.145) 11.358 ms 11.831 ms 12.562 ms
4
www.tomsknet.ru (217.18.130.27) 13.279 ms 13.771 ms 15.010 ms
# Generated by iptables-save v1.3.5 on Sat Aug 8 11:18:55 2009
*filter
:INPUT ACCEPT [361:29356]
:FORWARD ACCEPT [381:241142]
:OUTPUT ACCEPT [363:50875]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Aug 8 11:18:55 2009
# Generated by iptables-save v1.3.5 on Sat Aug 8 11:18:55 2009
*nat
:PREROUTING ACCEPT [37:2317]
:POSTROUTING ACCEPT [26:1814]
:OUTPUT ACCEPT [26:1814]
-A POSTROUTING -s 192.168.11.0/255.255.255.0 -o ppp0 -j SNAT --to-source 111.111.111.72
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 111.111.111.72
-A POSTROUTING -s 192.168.0.2 -o eth0 -j SNAT --to-source 111.111.111.72
-A POSTROUTING -s 192.168.11.0/255.255.255.0 -o tun0 -j SNAT --to-source 222.222.222.40
COMMIT
# Completed on Sat Aug 8 11:18:55 2009
Комментарии:
1. Маршрутизация с локальной сети работает (http, ftp, VPN)
2. С сервера виден только Томский Интернет, при этом трассировка маршрутов показывает, что запросы идут напрямую к запрашиваемым адресам
3. Сервер Web не виден из внешнего Интернета
Необходимо сделать видимость сервера с внешнего интернета и желательно выход во внешку с сервера.
