NAT+VPN+dr.com能ping通但是上不了web

forrestzhang · 发表于 2006-2-24 04:49:15

作了一个NAT+VPN能ping通校外，但是客户机不能浏览外网网页，只能打开校内的网页
服务器可以打开网页请问是为什么？

方法用的是单网卡VPN的方法

我的dr.com客户端用的是兼容客户端

配置文件如下
[code:1]
　　/etc/ppp/options
　　　　debug
　　　　name servername
　　　　auth
　　　　require-chap
　　　　proxyarp

　　　/etc/pptpd.conf
　　　　speed 115200
　　　　localip 192.168.192.1
　　　　remoteip 192.168.192.2-253

　　　/etc/ppp/chap-secrets
　　　　#帐号服务器名称密码 IP
　　　　susu servername 123 *
[/code:1]
[code:1]
# echo 1 > /proc/sys/net/ipv4/ip_forward
# /etc/init.d/pptpd start

# modprobe /dev/ppp
# modprobe ppp_mppe
# modprobe ppp_async
[/code:1]

服务器端
[code:1]
Kernel IP routing table
Destination    Gateway       Genmask       Flags Metric Ref Use Iface
192.168.192.2 0.0.0.0       255.255.255.255 UH 0    0       0 ppp0
218.194.57.0 0.0.0.0       255.255.255.128 U    0    0       0 eth0
192.168.192.0 0.0.0.0       255.255.255.0 U    0    0       0 eth0
202.112.14.0 218.194.57.1 255.255.255.0 UG 0    0       0 eth0
127.0.0.0    127.0.0.1    255.0.0.0    UG 0    0       0 lo
0.0.0.0       192.168.192.1 0.0.0.0       UG 0    0       0 eth0
0.0.0.0       218.194.57.1 0.0.0.0       UG 0    0       0 eth0

eth0    Link encap:Ethernet  HWaddr 00:50:8D:5B:F8:74
      inet addr:218.194.57.2  Bcast:218.194.57.127  Mask:255.255.255.128
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
      RX packets:29465 errors:0 dropped:0 overruns:0 frame:0
      TX packets:44005 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:3677541 (3.5 Mb)  TX bytes:5524368 (5.2 Mb)
      Interrupt:16 Base address:0x9000

eth0:1 Link encap:Ethernet  HWaddr 00:50:8D:5B:F8:74
      inet addr:192.168.192.1  Bcast:192.168.192.255  Mask:255.255.255.0
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
      RX packets:1727 errors:0 dropped:0 overruns:0 frame:0
      TX packets:1432 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:117578 (114.8 Kb)  TX bytes:93909 (91.7 Kb)
      Interrupt:16 Base address:0x9000

lo       Link encap:Local Loopback
      inet addr:127.0.0.1  Mask:255.0.0.0
      UP LOOPBACK RUNNING  MTU:16436  Metric:1
      RX packets:30 errors:0 dropped:0 overruns:0 frame:0
      TX packets:30 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:0
      RX bytes:2646 (2.5 Kb)  TX bytes:2646 (2.5 Kb)

ppp0    Link encap:Point-to-Point Protocol
      inet addr:192.168.192.1  P-t-P:192.168.192.2  Mask:255.255.255.255
      UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
      RX packets:1727 errors:0 dropped:0 overruns:0 frame:0
      TX packets:1432 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:3
      RX bytes:117578 (114.8 Kb)  TX bytes:93909 (91.7 Kb)
[/code:1]

登陆客户端
[code:1]
C:\Documents and Settings\Forrest>tracert www.sina.com.cn

Tracing route to jupiter.sina.com.cn [202.112.8.2]
over a maximum of 30 hops:

  1 <1 ms <1 ms <1 ms  192.168.192.1
  2 <1 ms <1 ms    1 ms  218.194.57.1
  3 <1 ms <1 ms <1 ms  202.115.0.209
  4 <1 ms <1 ms <1 ms  202.115.255.242
  5 <1 ms <1 ms <1 ms  202.115.255.229
  6 <1 ms <1 ms    3 ms  202.112.53.145
  7 20 ms 20 ms 20 ms  202.112.46.181
  8 21 ms 21 ms 21 ms  202.112.53.158
  9 40 ms 39 ms 39 ms  202.112.36.113
10 39 ms 39 ms 39 ms  202.112.53.194
11 39 ms 39 ms 39 ms  202.112.41.218
12 40 ms 39 ms 39 ms  202.112.62.242
13 39 ms 39 ms 39 ms  202.112.8.2

Trace complete.
[/code:1]

telnet登陆水木的时候是刚刚出登陆界面马上断掉

Axin · 发表于 2006-2-24 08:15:39

0.0.0.0 192.168.192.1 0.0.0.0 UG 0 0 0 eth0
0.0.0.0 218.194.57.1 0.0.0.0 UG 0 0 0 eth0

你上面有两条default gateway....

forrestzhang · 发表于 2006-2-24 17:15:41

仿佛和gw没有什么关系

Axin · 发表于 2006-2-24 21:13:08

你的路由设置是错的，两条网关你怎么上网？？？

如果你ppp都已经起来了，剩下的就只有路由了

forrestzhang · 发表于 2006-2-26 23:38:12

Axin,
已经按您的说法改成了一个网关也不行

话说回来，如果是路由和网关的问题，为什么客户端只可以ping通外网的机器而不能上网呢,客户端以及可以tracert sina？同样的是用这个vpn可以上学校内部不需要认证就可以打开的网页(与vpn服务器不在同一个网段内的)。小生实在不甚了解。

谢谢，帮一下忙吧

Axin · 发表于 2006-2-27 08:10:18

１、在你的服务器端，怎么来了个eth0:1 ？依我看你应该是使用的ppp0来建立vpn隧道。.
２、你的客户端也应该有一个像ppp0这样的虚拟网卡，地址应该是192.168.192.2

forrestzhang · 发表于 2006-2-27 08:19:31

１、在你的服务器端，怎么来了个eth0:1 ？依我看你应该是使用的ppp0来建立vpn隧道。.
eth0:1是由于使用的单网卡，需要用1块网卡分配2个ip的结果
２、你的客户端也应该有一个像ppp0这样的虚拟网卡，地址应该是192.168.192.2
就是如您所说的分配的客户端vpn ip是192.168.192.2

关键的问题是可以ping通，我不知道怎么解释为什么可以ping通和tracert却不能上网，怀疑是dr.com的验证机制里面对http层做了手脚。

Axin · 发表于 2006-2-27 08:25:09

你哪个不能上网？
你把不能上网的ifconfig　和route -n打印出来我看看。

你的那个eth0:1的地址和你的ppp0的地址一样，你还不觉得有问题？

Axin · 发表于 2006-2-27 08:28:18

其实我还没有搞明白，你的服务器哪个是外网品，哪个是内网口？？？

forrestzhang · 发表于 2006-2-27 08:29:58

服务器可以上校外

客户端可以上不需要认证的网

______________|====校内直接上
客户端==vpn==服务器
______________|====校外，dr.com认证====连接

Axin · 发表于 2006-2-27 08:38:42

[quote:07829ccb8d="Axin"]你哪个不能上网？
你把不能上网的ifconfig　和route -n打印出来我看看。

你的那个eth0:1的地址和你的ppp0的地址一样，你还不觉得有问题？[/quote]

你把你的客户端的ifconfig　和route -n打印出来我看看。

如果客户端是windows，就使用相应的命令。

forrestzhang · 发表于 2006-2-27 08:44:01

linux服务器
[code:1]
forrest ~ # route -n
Kernel IP routing table
Destination    Gateway       Genmask       Flags Metric Ref Use Iface
192.168.192.2 0.0.0.0       255.255.255.255 UH 0    0       0 ppp0
218.194.57.0 0.0.0.0       255.255.255.128 U    0    0       0 eth0
192.168.192.0 0.0.0.0       255.255.255.0 U    0    0       0 eth0
127.0.0.0    127.0.0.1    255.0.0.0    UG 0    0       0 lo
0.0.0.0       218.194.57.1 0.0.0.0       UG 0    0       0 eth0

forrest ~ # ifconfig
eth0    Link encap:Ethernet  HWaddr 00:50:8D:5B:F8:74
      inet addr:218.194.57.2  Bcast:218.194.57.127  Mask:255.255.255.128
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
      RX packets:1806 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2774 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:153537 (149.9 Kb)  TX bytes:293687 (286.8 Kb)
      Interrupt:16 Base address:0x9000

eth0:1 Link encap:Ethernet  HWaddr 00:50:8D:5B:F8:74
      inet addr:192.168.192.1  Bcast:192.168.192.255  Mask:255.255.255.0
      UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
      RX packets:31 errors:0 dropped:0 overruns:0 frame:0
      TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:2325 (2.2 Kb)  TX bytes:617 (617.0 b)
      Interrupt:16 Base address:0x9000

lo       Link encap:Local Loopback
      inet addr:127.0.0.1  Mask:255.0.0.0
      UP LOOPBACK RUNNING  MTU:16436  Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
      TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:0
      RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

ppp0    Link encap:Point-to-Point Protocol
      inet addr:192.168.192.1  P-t-P:192.168.192.2  Mask:255.255.255.255
      UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
      RX packets:31 errors:0 dropped:0 overruns:0 frame:0
      TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:3
      RX bytes:2325 (2.2 Kb)  TX bytes:617 (617.0 b)
[/code:1]

Windows客户端
[code:1]
C:\Documents and Settings\Forrest>ipconfig /all
Ethernet adapter 本地连接:

      Connection-specific DNS Suffix  . :
      Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
      Physical Address. . . . . . . . . : 00-11-25-16-0D-C7
      Dhcp Enabled. . . . . . . . . . . : Yes
      Autoconfiguration Enabled . . . . : Yes
      IP Address. . . . . . . . . . . . : 218.194.57.71
      Subnet Mask . . . . . . . . . . . : 255.255.255.128
      Default Gateway . . . . . . . . . : 218.194.57.1
      DHCP Server . . . . . . . . . . . : 202.115.22.200
      DNS Servers . . . . . . . . . . . : 202.112.14.151
                                          202.112.14.161
      Lease Obtained. . . . . . . . . . : 2006年2月27日 8:09:03
      Lease Expires . . . . . . . . . . : 2006年2月27日 20:09:03

PPP adapter vpntest:

      Connection-specific DNS Suffix  . :
      Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
      Physical Address. . . . . . . . . : 00-53-45-00-00-00
      Dhcp Enabled. . . . . . . . . . . : No
      IP Address. . . . . . . . . . . . : 192.168.192.2
      Subnet Mask . . . . . . . . . . . : 255.255.255.255
      Default Gateway . . . . . . . . . : 192.168.192.2
      DNS Servers . . . . . . . . . . . : 202.112.14.151
                                          202.112.14.161

C:\Documents and Settings\Forrest>ping www.sina.com.cn

Pinging jupiter.sina.com.cn [202.205.3.142] with 32 bytes of data:

Reply from 202.205.3.142: bytes=32 time=40ms TTL=52
Reply from 202.205.3.142: bytes=32 time=40ms TTL=52
Reply from 202.205.3.142: bytes=32 time=40ms TTL=52
Reply from 202.205.3.142: bytes=32 time=39ms TTL=52

Ping statistics for 202.205.3.142:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 39ms, Maximum = 40ms, Average = 39ms
[/code:1]

forrestzhang · 发表于 2006-2-27 08:46:53

说明一句，vpn登陆上去以后是可以在一瞬间telnet到newsmth.org的，不过在1秒钟以后链路被中断了

Axin · 发表于 2006-2-27 08:52:34

你的windows client如果要走vpn上sina，那你要做两件事情：
１、在你的windows客户端上，告诉你的windows client，要走vpn的线路，即要加一条路由，网关是你的服务器上的节点，地址是192.168.192.1（你服务器上也不能有两个192.168.192.1的地址），如果你只能通过vpn上外网，你就把你的默认网关设置成192.168.192.1好了。
２、在你的服务器上，从这个节点ppp0进来，eth0出去的的数据要做源地址转换。即SNAT，这个你可以查相关的文档，POSTROUTING

forrestzhang · 发表于 2006-2-27 09:01:59

１、告诉你的windows client，要走vpn的线路，即要加一条路由，网关是你的服务器上的节点，地址是192.168.192.1（你服务器上也不能有两个192.168.192.1的地址）
windows客户端
[code:1]
C:\Documents and Settings\Forrest>route print
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 12 f0 90 7a bf ...... Intel(R) PRO/Wireless 2200BG Network Connection
- 数据包计划程序微型端口
0x3 ...00 11 25 16 0d c7 ...... Broadcom NetXtreme Gigabit Ethernet - 数据包计划
程序微型端口
0xa0005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Active Routes:
Network Destination       Netmask       Gateway    Interface  Metric
      0.0.0.0       0.0.0.0 192.168.192.2 192.168.192.2    1
      127.0.0.0       255.0.0.0       127.0.0.1    127.0.0.1    1
192.168.192.2  255.255.255.255       127.0.0.1    127.0.0.1    50
  192.168.192.255  255.255.255.255 192.168.192.2 192.168.192.2    50
   218.194.57.0  255.255.255.128 218.194.57.71 218.194.57.71    20
   218.194.57.2  255.255.255.255 218.194.57.71 218.194.57.71    20
218.194.57.71  255.255.255.255       127.0.0.1    127.0.0.1    20
218.194.57.255  255.255.255.255 218.194.57.71 218.194.57.71    20
      224.0.0.0       240.0.0.0 218.194.57.71 218.194.57.71    20
      224.0.0.0       240.0.0.0 192.168.192.2 192.168.192.2    1
  255.255.255.255  255.255.255.255 192.168.192.2 192.168.192.2    1
  255.255.255.255  255.255.255.255 192.168.192.2             2    1
  255.255.255.255  255.255.255.255 218.194.57.71 218.194.57.71    1
Default Gateway:    192.168.192.2
===========================================================================
Persistent Routes:
  None
[/code:1]

２、从这个节点（192.168.192.1）的数据要做源地址转换。即SNAT
我的是这样写的
[code:1]
iptables -A POSTROUTING -t nat -s 192.168.192.0/24 -j MASQUERADE
[/code:1]
麻烦给点提示，谢谢

		自动登录	找回密码
密码			注册