lug-bg: VPN route problem

["Stanimir Kabaivanov" <stanimir.kabaivanov@xxxxxxxxx>]

Здравейте,
Ще се опитам да бъда максимално кратък и ясен с проблема:

VPN
установен с racoon и вградената подръжка на IPSec. От едната страна на
"тунела" стои gateway Федора 5, от другата Линукс съвместимо устройство.

Тунела се изгражда успешно. Пинг работи от произволна машина на едната мрежа към произволна машина на другата мрежа (и обратно).

Проблема е, че:

1. Пинг и всякакви заявки вървят успешно от Федората към машини на другата мрежа.
2. ЕДИНСТВЕНО пинг работи от машини стоящи зад Федората към машини на другата мрежа.

Според мен проблема е в настройките на на iptables и route, а не е свързан с MTU. Но не мога да разбера какво точно пропускам:

Настройки на iptables:

$LOCAL_GW - wuprosnata Fedora
$REMOTE_GW - wuprosnoto Linux suwmestimo ustrojstwo
192.168.x.0/23 - remote LAN
192.168.y.0/24 - local LAN

# Generated by iptables-save v1.3.5
 on Thu Jul 27 18:11:01 2006
*mangle
:PREROUTING ACCEPT [953:662425]
:INPUT ACCEPT [859:646970]
:FORWARD ACCEPT [94:15455]
:OUTPUT ACCEPT [920:161181]
:POSTROUTING ACCEPT [1014:176636]
-A PREROUTING -i eth0 -p ipv6-crypt -j MARK --set-mark 0x1 
COMMIT
# Completed on Thu Jul 27 18:11:01 2006
# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006
*nat
:PREROUTING ACCEPT [69:5073]
:POSTROUTING ACCEPT [66:4168]
:OUTPUT ACCEPT [54:3554]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A PREROUTING -s 192.168.x.0/255.255.254.0 -i eth0 -m mark --mark 0x1 -j ACCEPT 
-A POSTROUTING -s 192.168.y.0/255.255.255.0 -d ! 192.168.x.0/255.255.254.0 -o eth0 -j MASQUERADE 
COMMIT
# Completed on Thu Jul 27 18:11:01 2006
# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006
*filter
:INPUT ACCEPT [33:6591]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [841:137877]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT 
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT 
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-auth -j ACCEPT 
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-crypt -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT 
-A INPUT -i eth0 -m mark --mark 0x1 -j ACCEPT 
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth1 -o eth0 -j ACCEPT 
-A FORWARD -j LOG 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth0 -m mark --mark 0x1 -j ACCEPT 
-A FORWARD -i eth1 -j ACCEPT 
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT 
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT 
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-auth -j ACCEPT 
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-crypt -j ACCEPT 
-A RH-Firewall-1-INPUT -i lo -j ACCEPT 
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT 
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT 
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT 
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT 
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT 
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 145 -j ACCEPT 
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Thu Jul 27 18:11:01 2006


Пътища:

r.e.m. - remote GW
l.o.c. - local GW

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
l.o.c.0    *               255.255.255.0   U     0      0        0 eth0
192.168.y.0    *           
255.255.255.0   U     0      0        0 eth1
192.168.x.0     localGW  . 255.255.254.0   UG    0      0        0 eth0
169.254.0.0     *          255.255.0.0     U     0      0        0 eth1
default         localGW    0.0.0.0         UG    0      0        0 eth0

Направих и следния опит, за да проверя къде е проблема:

пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада:

При опит за ssh към сървър от remote LAN-а заявката ми умира още "на eth1", като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway....


Предварително благодаря!