Сеть между двумя офисами. Kerio, Ubuntu сервер

[Tord]

Добрый день!!! Имеется офис со шлюзом Kerio и посетью 192.168.0.0\24, который выдаёт ip-адреса клиентам из 192.168.25.0\24
Часть компьютеров переехала на другое физ. место. Для это цели был установлен шлюз на ubuntu server, выдана подсеть 192.168.26.0\24. На шлюзе подключил vpn-клиент к офису. Всё работает. Со шлюза я пингую компы в главном офисе. Также было прописано правило для NAT:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Инет появился у компьютеров с подсети 192.168.26.0\24. Однако компы с гл.офиса они не видят. Догадываюсь что что-то не так с роутами.
Роут шлюза:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
192.168.0.0 192.168.25.1 255.255.255.0 UG 1 0 0 kvnet
192.168.25.0 0.0.0.0 255.255.255.0 U 0 0 0 kvnet
192.168.26.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
195.xx.xx.xx 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0

kvnet - подключение через впн клиент керио
ppp0 - инет
eth1 - локальный интерфейс
Роуты клиентского компа
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.26.1 192.168.26.128 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.25.0 255.255.255.0 On-link 192.168.25.4 276
192.168.25.4 255.255.255.255 On-link 192.168.25.4 276
192.168.25.255 255.255.255.255 On-link 192.168.25.4 276
192.168.26.0 255.255.255.0 On-link 192.168.26.128 266
192.168.26.128 255.255.255.255 On-link 192.168.26.128 266
192.168.26.255 255.255.255.255 On-link 192.168.26.128 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.26.128 272
224.0.0.0 240.0.0.0 On-link 192.168.25.4 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.26.128 266
255.255.255.255 255.255.255.255 On-link 192.168.25.4 276

Буду очень признателен за помощь!!!

[Mishelka]

1. во-первых Keiro должен быть в курсе, что запросы/ответы на сеть 192.168.26.0 он должен отправлять на kvnet (а не ppp0)
у вас прописан похожий маршрут 192.168.0.0 192.168.25.1 255.255.255.0 UG 1 0 0 kvnet, но маска подсети явно НЕ катит. должен быть
route add 192.168.0.0 mask 255.255.0.0 via <vpn_address>(???????????) dev kvnet
2. во-вторых ваш VPN ubuntu сервер также должен быть в курсе, что он должен запросы/ответы на сеть 192.168.25.0 отправлять на VPN интерфейс, а не на свой default gateway.


P.S. хотя нарисуйте примерно картинку, где у вас что стоит и с какими адресами

[Tord]

Нарисовал от руки

[Mishelka]

вы должны сказать шлюзу Убунту, что пакеты на сеть 192.168.25.0/24 он должен посылать через ВПН клиента
а Кэрио на другом конце сказать, что пакеты на сеть 192.168.26.0/24 он должен слать через ВПН сервер

[Tord]

А разве 192.168.25.0 0.0.0.0 255.255.255.0 U 0 0 0 kvnet не говорит, что 192.168.25.0/24 слать через клиент?
На шлюзе с Керио прописал route add 192.168.26.0 mask 255.255.255.0 192.168.25.1 if 0x2, 0x2 - интерфейс керио. Тоесть добавился маршрут 192.168.26.0 255.255.255.0 192.168.25.1 192.168.25.1. Однако не работает... Mishelka, а можно в лс скайп. Просто у меня уже идей нет...готовь за помощь отблагодарить пивом Кстати, шлюз с Керио Юбунту сервер по 192.168.26.1 не видит...если надо могу выложить роут шлюза с Керио.

[Mishelka]

не видно, чт оу вас происходит на стороне Keiro. нет оттуда таблицы машрутизации.

хотя по идее, для того чтобы пустить VPN клиента в свою сеть надо сделать как-бы мост.

вот к примеру у меня роутере релизован PPTP сервер (poptop) там при подключении клиента выполняется такой скрипт:
ip-up
#!/bin/sh
/usr/bin/logger -t "pptpd" "$1 $2 $3 $4 $5 $6"
/usr/sbin/iptables -I INPUT -i $1 -s $5 -j ACCEPT
/usr/sbin/iptables -I FORWARD -i $1 -s $5 -j ACCEPT
/usr/sbin/iptables -I OUTPUT -i $1 -j ACCEPT
/usr/sbin/iptables -I FORWARD -o $1 -j ACCEPT
/usr/sbin/iptables -t nat -I POSTROUTING -s $5 -o br0 -j MASQUERADE
/opt/sbin/bcrelay -d -i br0 -o $1 -n

т.е. пропичываются правила для firewall и самое гдавное это последняя строчка:
проброс всех пакетов с br0 на $1 (ppp1 в моем случае)

[ZOTAC]

На винде за 20 минут...

[Shumsky]

винды для сетевых задач крайне неюзабельны, так что нефиг тут. ТС, tcpdump приветствуется

[ZOTAC]

Ну уменя виндовые vpn соединения уже 189 дней без обрыва. А так винда и циски полет нормальный...

[Shumsky]

виндовые ВПН. Но не виндовые наты. Вообще-то для сетевых задач самое то - бсд системы.

[ZOTAC]

Ладно не будем разводить срачь винда vs линукс. каждый делает как может хочет умеет...

[Shumsky]

а срач винда\линукс я и не развожу я разможу винда\бсд ^_^

А вообще-то правильно давать всему свои задачи: профессионалы используют для задачи подходящий инструмент, а не подгоняют под задачу один инструмент, которым умеют пользоватся. И это правильно: винды - там, где без них никуда. Остальное - на СПО. И обэп не волнуется лишний раз, и стабильность побольше, и обслуживать проще По поводу просторы обслуживания можете не рассказывать: я на виндовых сетках весьма неплохую собаку съел, чтобы больше не гореть желанием туда возвращаться

[Mishelka]

есть такое понятие как source routing, два и больше каналов к инету - балансировка нагрузки, отказоустойчивость, переход на резервный канал - тут винде нечего предложить!

ресурсоемкость, стоимость сопровождения и время на восставновление после сбоя - винда тут прост оотдыхает.

а если учесть дейсвительно еще и лицензионную составляющую .....

можно взять конечно Cisco - но извините решение стоимостью $200 и $2000 - вы в этом чувствуете разницу?

когда речь идет о безопасности банка и о связи двух простых офисов - какое решение вы выберите?

[Мальчик Евграф]

есть такое понятие как source routing, два и больше каналов к инету - балансировка нагрузки, отказоустойчивость, переход на резервный канал - тут винде нечего предложить!

А ей и не надо предлагать.

З.Ы, Для подобных задач я описывал свой комплектик в теме про настройку фри на несколько каналов.
Он даже сверх-избыточен для этого.

Тем более у ТС венда. Чек-бокс "Маршрутизация и удаленный доступ к сети" никто не отменял. Все на обычном вендовом ППТП сделать и забыть. Можно даже тупо не заниматься морокой с двумя роутами и превратить каждый комп удаленной сети в клиента ППТП.