Share la placa de retea catre router

PC-ul are 2 placi de retea fizice, eth0 si eth1.
In eth0 vine conexiunea de la provider.
In tun0 se creeaza o conexiune vpn.
Prin eth1 vreau sa dau share la tun0 catre router.
Practic vreau ca routerul sa ia internet din pc prin placa eth1, si sa serveasca clienti mai departe. Un capat al cablului sa fie in portul WAN al routerului, altul in placa de retea eth1.

Momentan am asa:

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i eth1 -d 192.168.100.0/24 -j ACCEPT ### -- subnetul asta dat eu la nimereala ca sa aiba routerul, nu am facut nicio setare
iptables -t nat -A POSTROUTING -o tun0 -j MASQUARADE

sysctl net.netfilter.nf.conntrack_act=1

, dar nu functioneaza.

Va rog sa-mi spuneti daca aceste comenzi ar trebui sa aiba rezultatul asteptat de mine, si de asemenea ce configurari ar trebui sa-i fac routerului.
Momentan am incercat sa-l configurez cu static ip, dar nu stiu ce sa trec la Default Gateway. Cum va sti el ce ip are eth1 ?

Daca am inteles bine, tu vrei sa scoti clientii din spatele eth1 (al routerului) prin VPN:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

E posibil sa fie din cauza c-ai scris prost masquerade.

Din primul post se pare ca e vorba de linux.
Propun ca daca nu e obligatoriu sa folosesti linux sa treci pe FreeBSD.
In BSD toata problema e rezolvata usor, cel mult o recompilare de kernel si optiuni corecte in /etc/rc.conf

Daca am inteles eu bine, in  PC o sa ai asa:
- eth0 -> WAN (ISP)
- tun0 -> VPN (via eth0)
- eth1 -> link catre router
- in spatele router-ului -> LAN

Intrebarea care imi vine mie in minte e la ce mai ai nevoie de router? Daca il folosesti doar in scopuri de wireless, majoritatea vor face bridging chior (sau cu putine setari), in consecinta il poti folosi pe post de switch cu 802.11 features, caz in care configurezi pe eth1 un subnet la voia inimii tale, iar de pe Linux ii faci SNAT via adresa IP primita prin VPN. Daca vrei sa scoti LAN-ul direct via VPN, va trebui sa te joci putin cu rutarea dupa sursa din iproute2.

Daca vrei sa persisti in continuare cu utilizarea router-ului in mod routing, aloca-ti un /30 pe eth1, prima adresa va fi configurata pe eth1 si va fi folosita pe post de default gw de router, iar a doua va fi pe interfata WAN de la router. Cel mai probabil te vei alege cu un double-NAT in acest scenariu, se aplica exact ce am zis mai sus, insa doar pentru adresa IP alocata pentru router.

Router-ul respectiv nu stie VPN, ca sa-ti rezolvi din start istoria?

Edited by DaCosta, 06 May 2014 - 21:31.