przekierowanie pakietów gre przez nat na linuxie v-smart

Pad19 · Post autor: **Pad19** » 04 sierpnia 2014, 15:45

Witam.

Mam lms od v-smart. Próbuję przerzucić przez nat ruch gre niestety bezskutecznie.

eth0 - port wan
eth1 - lan

Cały inny ruch tcp/udp przerzuca bez problemu, różne porty jednakże nie gre.
Dodałem moduły:

Kod: Zaznacz cały

modprobe nf_nat_proto_gre 
modprobe nf_conntrack_proto_gre 
modprobe nf_conntrack_pptp 
modprobe nf_nat_pptp 
modprobe ip_nat_pptp 
modprobe ip_conntrack_pptp

oraz regułkę do iptables:

Kod: Zaznacz cały

iptables -A PREROUTING -d 192.168.155.4/32 -i eth0 -p 47 -j DNAT --to-destination 192.168.12.9

Na interfejsie eth0 widzę ruch gre pod tcpdump w obie strony, ale niestety na eth1 widzę tylko pakiety z urządzenia za natem na świat.

eth0

Kod: Zaznacz cały

11:50:24.838579 IP 195.254.170.3 > 192.168.155.4: GREv1, call 25862, no-payload, length 183 
11:50:44.141823 IP 192.168.12.9 > 195.254.170.3: GREv1, call 25862, no-payload, length 148

eth1

Kod: Zaznacz cały

12:02:44.155290 IP 192.168.12.9 > 195.254.170.3: GREv1, call 25862, no-payload, length 148

Jak zmienię w regułce np. tylko na tcp wszystko będzie działać, przy gre nie chce. Może samej kompilacji iptables w v-smart brakuje czegoś do przerzucenia gre?

Reguły firewalla nie blokują, po wykonaniu iptables -F czyli każda polityka na accept, pozostawiając wpisy natu, problem nadal występuje.

Pozdrawiam.

markossx · Post autor: **markossx** » 04 sierpnia 2014, 17:56

GRE w tym wydaniu potrzebuje jeszcze PPTP, więc pokombinuj jeszcze.

Pad19 · Post autor: **Pad19** » 04 sierpnia 2014, 18:43

Nie rozumiem co mam pokombinować. Zestawiam tunel EOIP, PPTP działa trochę inaczej, np wymienia także komunikację po 1723 TCP. EOIP wymienia tylko pakiety gre

markossx · Post autor: **markossx** » 04 sierpnia 2014, 20:00

Zrobisz mapkę, bo nie do końca łapie o co chodzi.

Post autor: **dedito** » 04 sierpnia 2014, 20:14

Nie kojarze co to jest to gre, rozumiem, że jaki protokół.
Jeżeli cel znajduje się gdzieś w sieci LAN zezwól też na forward:

Kod: Zaznacz cały

iptables -A FORWARD -p gre -j ACCEPT

Pad19 · Post autor: **Pad19** » 04 sierpnia 2014, 20:22

FORWARD jest dla wszystkiego na ACCEPT, wszelkie reguły firewall wyłączone (oprócz nat), polityka domyślna na accept

Mam wiele takich lokalizacji, nieraz działa dobrze, nieraz nie i nie wiadomo zbytnio dlaczego. Np w innej jest nat 1:1, nie tylko protokół gre. Nadal nic to nie daje.

iptables -t nat -A PREROUTING -d 193.106.155.8/32 -j DNAT --to-destination 192.168.12.9

tcp, udp, icmp przechodzą, gre nie

markossx · Post autor: **markossx** » 04 sierpnia 2014, 20:30

Zrób mapkę, jakie urządzenia za i przed routerem, spróbujemy to ogarnąć.

Post autor: **dedito** » 04 sierpnia 2014, 20:45

Wujek google podpowiada jeszcze jedną regułkę:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth0 -p tcp --sport 1024:65535 -d [color=#333333]192.168.155.4/32[/color] --dport 1723 -j DNAT --to-destination [color=#333333]192.168.12.9[/color]

Ale z tego co widzę próbowałeś już przekierować cały ruch przy celu 193.106.155.8/32 więc to powyższe nie powinno pomóc.
Widzę, że coś tu jest zamieszane bo najpierw operujesz adresem z puli prywatnej, teraz podajesz publiczne ip.

Pad19 · Post autor: **Pad19** » 04 sierpnia 2014, 20:51

To nic nie daje, tak jak pisałem, port 1723 tcp jest potrzebny do PPTP, ja zestawiam EOIP czyli tylko protokół gre. W tej chwili jest NAT 1:1, każdy protokół i port z adresu publicznego 193.106.155.8 jest przekierowany za nat do 192.168.155.8. Wszystkie usługi na protokołach TCP, UDP, ICMP działają poprawnie, pakiety przechodzą. Tylko jest problem z protokołem GRE
Sama konfiguracja EOIP z obu stron jest dobra, sprawdzałem już 100razy czy nie popełniony został błąd, mam identycznie w kilkudziesięciu innych lokalizacjach.

Załącznik eoip-rysunek.jpg nie jest już dostępny

Pad19 · Post autor: **Pad19** » 04 sierpnia 2014, 20:56

dedito pisze:
Widzę, że coś tu jest zamieszane bo najpierw operujesz adresem z puli prywatnej, teraz podajesz publiczne ip.

Bo już to któraś z kolei lokalizacja w której mam problem

Minimalnie różnią się konfiguracją, aczkolwiek zawsze problem występuje na routerze linux u innego operatora, do którego zestawiam tunel EOIP. Nie przechodzą te pakiety gre. Jak, ktoś zna się na tunelach GRE, analizie pakietów itp to może mi napisać prywatną wiadomość z nr telefonu, chętnie zadzwonię i wyjaśnię dokładnie o co chodzi i zapłacę za rozwiązanie problemu. Zaznaczam tylko, że jakby problem był prosty typu 30min szukania w google, to już dawno bym to zrobił