Форумы
Kalina LUG :: Форумы :: Основной :: Администрирование |
|
<< Предыдущая тема | Следующая тема >> |
Разделение трафика RDP, pop,smtp и HTTP |
Модераторы: kalina, sanitar, NaTty, COMRADE_ARTYOM, variable, Solaris, az, Andreyf1
|
Автор | Добавил | ||
iron_head |
|
||
ID пользователя #94
Зарегистрирован: Птн Мар 13 2009, 09:18Сообщений: 42 |
И снова здравствуйте! С ВПН разобрались, теперь нужно додуматься как разделить трафик. Есть сервер debian6 он как все остальные компьютеры небольшой сети смотрит в интернет через интернет шлюз, коим является Dlink DSL-2600U\NRU. Сервер имеет постоянное подключение VPN к сети главного офиса. Хотелось бы завернуть все компьютеры сети шлюзом на linux сервер, а тот в свою очередь, чтобы разбирал трафик RDP пропускал через сове VPN соединение PPP0 на сервер RDP на другом конце VPN, а весь остальной интернет трафик пускал на модем. Конечно можно пустить и инет трафик через VPN, но не хочется загружать канал. Возможно есть опыт решения подобных задач, прошу помощи у Вас коллеги. [ Редактирование Птн Июн 08 2012, 17:46 ] |
||
Наверх |
|
||
iron_head |
|
||
ID пользователя #94
Зарегистрирован: Птн Мар 13 2009, 09:18Сообщений: 42 |
А может оставить как есть (шлюзом на win машинках оставляем Dlink) и , на рабочих станциях win в качестве RDP сервера указываем linux сервер, который в свою очередь перебрасывает RDP пакеты (порт форвардингом) через туннель VPN на сервер RDP на том конце туннеля.
[ Редактирование Птн Июн 08 2012, 21:42 ] |
||
Наверх |
|
||
Solaris |
|
||
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Может iptables поможет? | ||
Наверх |
|
||
iron_head |
|
||
ID пользователя #94
Зарегистрирован: Птн Мар 13 2009, 09:18Сообщений: 42 |
Да, я хочу использовать iptables для этих целей. Но, мое правило что -то не очень работает. #iptables -A FORWARD -i eth0 -o ppp0 -p tcp -j ACCEPT #iptables -t nat -A PREROUTING -p tcp -d 192.168.0.102 --dport 3389 -j DNAT --to-destination 192.168.1.103:3389 -ppp0 - ВПН соединение addr:192.168.16.14 -eth0 - сетевушка с адресом 192.168.0.102 -адрес RDP сервера на том конце ВПН -192.168.1.103 Что я мог упустить? На клиентской win машинке набираю в качестве RDP сервера адрес 192.168.0.102 (linux) который должен в свою очередь пробрасывать мои запросы через ВПН на адрес 192.168.1.103 (win2003) на другом конце ВПН. Пинги с обоих концов проходят. upd 13.06 Правило для проброса через NAT через сервер VPN так же присутствует: iptables -t nat -A POSTROUTING -s 192.168.1.103 -o ppp0 -j MASQUERADE 192.168.1.103 - Cервер RDP в сети за ВПН сервером ppp0 - интерфейс который смотрит в интернет. Возможно нужно было добавить ещё правило не через ppp0, а через ppp( с номером) подключенного соеденения ВПН с удаленного сервера, сегодня попробую. Хорошо бы кто нибудь ворвался в мой монолог. [ Редактирование Срд Июн 13 2012, 09:07 ] |
||
Наверх |
|
||
Solaris |
|
||
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
А ppp с каким номером присутствует? Почему для него правило не прописано? Пробуй прописать и отпишись. | ||
Наверх |
|
||
iron_head |
|
||
ID пользователя #94
Зарегистрирован: Птн Мар 13 2009, 09:18Сообщений: 42 |
При подключении клиентов к ВПН серверу, на сервере появляются новые интерфейся PPP1, PPP2, PPP3 и т.д. каждому новому подключению , новый РРР с номером. Попробую прописать правило для него, что -то типа: #iptables -A FORWARD -i eth0 -o ppp(номер) -p tcp -j ACCEPT и #iptables -t nat -A POSTROUTING -s 192.168.1.103 -o ppp(номер) -j MASQUERADE По резултату отпишусь. Хорошо бы присвоить (зарезервировать) железно конкретный РРР(номер) для подключения определенного клиента, чтобы с правилами не было плясок, пока не соображу как. |
||
Наверх |
|
||
Solaris |
|
||
ID пользователя #22
Зарегистрирован: Втр Фев 26 2008, 15:15Сообщений: 1559 |
Ну теперь как? | ||
Наверх |
|
||
iron_head |
|
||
ID пользователя #94
Зарегистрирован: Птн Мар 13 2009, 09:18Сообщений: 42 |
Ну в общем получилось. Правила: #iptables -A FORWARD -i eth0 -o ppp0 -p tcp -j ACCEPT #iptables -t nat -A POSTROUTING -s 192.168.0.102 -o ppp0 -j MASQUERADE На сервере в филиале это правило указывать нужно! И ещё на сетевой карте клиента шлюзом необходимо указать интернет сервер в филиале (102), а стоял интернет роутер (250). Пиниг пошли, РДП поднимается, все хорошо, но не все . Интернета нет, шлюз то не роутер! Вот теперь думаю как сделать чтобы и РДП работал и инет был. Думаю попробовать сделать правило в роутере (D-Link DSL-2600U), что -то типа: при получении пакета на роутер (250) порт 3389 перенаправлять его на сервер в сети главного офиса. [ Редактирование Чтв Июл 26 2012, 16:12 ] |
||
Наверх |
|
||
mobilesfinks |
|
||
ID пользователя #254
Зарегистрирован: Срд Дек 22 2010, 16:55Сообщений: 10 |
(как вариант) думаю правильней будет сделать машинку с линуксом шлюзом, модем включить на неё напрямую. Воткнуть вторую сетевуху и её в локалку кинуть и разрули iptables и маршрутами я цепляюсь к сети организации через openvpn eth0 - интерфейс смотрит в интернет eth1 - интерфейс смотрит в локалку tun0 - туннельный интерфейс openvpn гоним через NAT всё на eth0, открываем нужные порты разрешаем форвардинг пакетов на подсеть VPN и между интерфейсами всё пашет. из той сети меня видно, из локалки они ходят в интернет и с моим компом нормально общаются примерно как то в этом духе и тебе нужно сделать.
|
||
Наверх |
|
||
Powered by e107 Forum System