OpenVPN, все запросы со второй/третьей и т.п. сети видны с ip-адресом осн.шлюза

[gothundead]

Добрый день.
Вопрос следующий.
Есть шлюз с настроенным openvpn сервером, за которым находится локальная сеть 192.168.1.0/24 и несколько шлюзов, подключенных к серверу через интернет посредством openvpn, за каждым из которых есть своя локальная сеть 192.168.2.0/24, 192.168.3.0/24.

Сеть между офисами в общем работает нормально за исключением следующего: все запросы приходящие из-за vpn'a в squid'e отображаются с ip адресом самого главного шлюза (192.168.1.110).

В iptables не удается использовать в правилах ip-адреса других подсетей, но все работает, если использовать ip-адреса собственной сети vpn'ов, то есть если указать правила для ip-адресов вида 172.16.16.*

Подскажите, пожалуйста, с чем это может быть связано? и как сделать так, чтобы в iptables можно было использовать конкретные ip адреса других подсетей, например для 192.168.2.3

вот выдержка из iptables на основном шлюзе 192.168.1.110

Спойлер

*nat
:PREROUTING ACCEPT [680866:86210275]
:POSTROUTING ACCEPT [31:1594]
:OUTPUT ACCEPT [71361:5429579]

-A POSTROUTING -o eth1 ! -d 192.168.1.10/32 -j SNAT --to-source 192.168.1.110
-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT
# Completed on Mon Jul 11 09:48:32 2005
# Generated by iptables-save v1.2.11 on Mon Jul 11 09:48:32 2005
*filter
:INPUT DROP [243616:38937985]
:FORWARD ACCEPT [5193826:2028192329]
:OUTPUT DROP [2838:266088]
#
#-A INPUT -p icmp -j ACCEPT
#-A OUTPUT -p icmp -j ACCEPT

-A INPUT -i lo -p TCP -j ACCEPT
-A OUTPUT -o lo -p TCP -j ACCEPT

-A INPUT -p TCP -j ACCEPT
-A OUTPUT -p TCP -j ACCEPT

#
-A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.3.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.4.0/255.255.255.0 -j ACCEPT
-A INPUT -s 192.168.5.0/255.255.255.0 -j ACCEPT

-A OUTPUT -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A OUTPUT -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A OUTPUT -d 192.168.3.0/255.255.255.0 -j ACCEPT
-A OUTPUT -d 192.168.4.0/255.255.255.0 -j ACCEPT
-A OUTPUT -d 192.168.5.0/255.255.255.0 -j ACCEPT

-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

-A INPUT -s ВНЕШНИЙ_IP_ШЛЮЗА1 -j ACCEPT
-A OUTPUT -d ВНЕШНИЙ_IP_ШЛЮЗА1 -j ACCEPT
-A INPUT -s ВНЕШНИЙ_IP_ШЛЮЗА2 -j ACCEPT
-A OUTPUT -d ВНЕШНИЙ_IP_ШЛЮЗА2 -j ACCEPT

COMMIT
# Completed on Mon Jul 11 09:48:32 2005
# Generated by iptables-save v1.2.11 on Mon Jul 11 09:48:32 2005
*mangle
:PREROUTING ACCEPT [1091:328884]
:INPUT ACCEPT [523:54158]
:FORWARD DROP [3:168]P
:OUTPUT ACCEPT [466:47126]
:POSTROUTING ACCEPT [1012:320036]

-A FORWARD -d 192.168.1.40 -s 172.16.16.0/255.255.255.0 -p tcp -m tcp --sport 80:81 -j ACCEPT
-A FORWARD -s 192.168.1.40 -d 172.16.16.0/255.255.255.0 -p tcp -m tcp --sport 80:81 -j ACCEPT

COMMIT
# Completed on Mon Jul 11 09:48:32 2005

вот выдержка с другого шлюза (192.168.2.1)

Спойлер

*nat
:PREROUTING ACCEPT [680866:86210275]
:POSTROUTING ACCEPT [31:1594]
:OUTPUT ACCEPT [71361:5429579]

-A POSTROUTING -j MASQUERADE

COMMIT
# Completed on Mon Jul 11 09:48:32 2005
# Generated by iptables-save v1.2.11 on Mon Jul 11 09:48:32 2005
*filter
:INPUT DROP [243616:38937985]
:FORWARD ACCEPT [5193826:2028192329]
:OUTPUT DROP [2838:266088]
#
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

-A INPUT -i lo -p TCP -j ACCEPT
-A OUTPUT -o lo -p TCP -j ACCEPT

#local
-A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A OUTPUT -d 192.168.1.0/255.255.255.0 -j ACCEPT
#server
-A INPUT -s ВНЕШНИЙ_IP_ОСНОВНОГО_ШЛЮЗА -j ACCEPT
-A OUTPUT -d ВНЕШНИЙ_IP_ОСНОВНОГО_ШЛЮЗА -j ACCEPT


#ssh
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

#telnet
-A INPUT -p tcp -m tcp --dport 23 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 23 -j ACCEPT

#dns
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 53 -j ACCEPT

#http
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -j ACCEPT

#https
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 443 -j ACCEPT

#openvpn
-A INPUT -p udp -m udp --sport 1194 -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 1194 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 1194 -j ACCEPT

COMMIT
# Completed on Mon Jul 11 09:48:32 2005
# Generated by iptables-save v1.2.11 on Mon Jul 11 09:48:32 2005
*mangle
:PREROUTING ACCEPT [1091:328884]
:INPUT ACCEPT [523:54158]
:FORWARD DROP [3:168]P
:OUTPUT ACCEPT [466:47126]
:POSTROUTING ACCEPT [1012:320036]

#server
-A FORWARD -d 192.168.2.0/255.255.255.0 -s ВНЕШНИЙ_IP_ОСНОВНОГО_ШЛЮЗА -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d ВНЕШНИЙ_IP_ОСНОВНОГО_ШЛЮЗА -j ACCEPT

#localka
-A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT


#kaspersky
-A FORWARD -d 192.168.2.0/255.255.255.0 -s 95.167.139.6 -p tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 95.167.139.6 -p tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -s 195.16.117.50 -p tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 195.16.117.50 -p tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -s 93.159.230.19 -p tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 93.159.230.19 -p tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -s 212.47.219.86 -p tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 212.47.219.86 -p tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -s 85.12.58.15 -p tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 85.12.58.15 -p tcp --dport 80 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -s 95.211.85.42 -p tcp --sport 80 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 95.211.85.42 -p tcp --dport 80 -j ACCEPT

###dns
-A FORWARD -d 192.168.2.0/255.255.255.0 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT

COMMIT
# Completed on Mon Jul 11 09:48:32 2005