OpenVPN требуется проброс порта

0

1

user03.ovpn (vpn_ip: 172.17.0.3, роутер) лок. 192.168.10.0/24

На этой локалке (192.168.10.0/24) есть программа мониторинга, открыл порт 8081 для веб доступа

OpenVPN сервер на VPS (Ubuntu 20.04) (x.x.x.x)

Требуется открыть порт на ubuntu, типа x.x.x.x:8082 и при заходе из глобы на этот адрес через браузер шло перенаправление на 192.168.10.100:8081

Конфиг сервера:

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0

Конфиг user03.ovpn:

iroute 192.168.10.0 255.255.255.0

Порт открыл:

iptables -A INPUT -p tcp --dport 8082 -j ACCEPT
iptables -A INPUT -p udp --dport 8082 -j ACCEPT

Сделал перенаправление:

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 8082 -d 192.168.10.100 -j SNAT --to-source 192.168.10.1:8081

Раскоментировал:

net.ipv4.ip_forward=1

Чёта не фурычит (( Пожалуйста подскажите что не так

Ссылка

←	Настройка ufw для доступа к сайту через openvpn

Почему не запускается сервис?

→

Не написали DNAT правило. И порт нужно разрешать в FORWARD.

mky ★★★★★
(18.11.21 10:35:29 MSK)

Ссылка

Сделал перенаправление:

iptables -t nat -A POSTROUTING -o eth0 -p tcp –dport 8082 -d 192.168.10.100 -j SNAT –to-source 192.168.10.1:8081

давным давно, когда у меня не было еще поднят OpenVPN я так обычно ломился из дома на сервер офисный

/sbin/iptables -t nat -A PREROUTING -p tcp  -s $HOME -d $OFFICE --dport 3389 -j DNAT --to-destination $SI-NEW:3389
/sbin/iptables -A FORWARD -p tcp -d $SI-NEW --dport 3389 -j ACCEPT

переменные понятны? Home и Office внешние IP, si-new внутренний ip сервера к которому пробрасываю.

alex_sim ★★★★
(18.11.21 10:43:20 MSK)

Ответ на: комментарий от alex_sim 18.11.21 10:43:20 MSK

давным давно, когда у меня не было еще поднят OpenVPN я так обычно ломился из дома на сервер офисный

Во-во, давно, сейчас статический домашний IP даже за нормальные деньги заколебёшься получать :)

vodz ★★★★★
(18.11.21 10:55:30 MSK)

Ответ на: комментарий от vodz 18.11.21 10:55:30 MSK

Во-во, давно, сейчас статический домашний IP даже за нормальные деньги заколебёшься получать :)

Ну видимо смотря где живешь, дома всегда был и сейчас есть белый IP за смешные деньги. Pоутер был DIR-300, поменял на микротик - поднял OpenVPN надобность в пробросе отпала.

alex_sim ★★★★
(18.11.21 11:01:20 MSK)

Ссылка

Ответ на: комментарий от alex_sim 18.11.21 10:43:20 MSK

iptables -t nat -A PREROUTING -p tcp  -d x.x.x.x --dport 8082 -j DNAT --to-destination 192.168.10.100:8081
iptables -A FORWARD -p tcp -d 192.168.10.100 --dport 8081 -j ACCEPT

Не канает, + $HOME не может быть статикой.

Так тоже не канет:

iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --dport 8082 -j DNAT --to-destination 192.168.10.100:8081
iptables -t nat -A POSTROUTING -d 192.168.10.100 -p tcp -m tcp --dport 8081 -j SNAT --to-source 192.168.10.1
iptables -t nat -A OUTPUT -d x.x.x.x -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.10.100
iptables -I FORWARD 1 -d 192.168.10.100 -p tcp -m tcp --dport 8081 -j ACCEPT

Где ошибка ?

ramneak
(18.11.21 11:09:04 MSK) автор топика

Ответ на: комментарий от vodz 18.11.21 10:55:30 MSK

Во-во, давно, сейчас статический домашний IP даже за нормальные деньги заколебёшься получать :)

Раз. https://www.starlink.ru/internet - 135 руб в мес.
Два. https://moskva.beeline.ru/customers/products/home/home-tariffs-old/service/fi... - 150 руб в мес.
Три. https://internet.rinet.ru/ - 150 руб в мес.
В части «заколебёшься» жмякнуть в ЛК на подкючение услуги.

anc ★★★★★
(18.11.21 11:23:18 MSK)

Ответ на: комментарий от ramneak 18.11.21 11:09:04 MSK

Не канает, + $HOME не может быть статикой.

HOME статика - мой конкретный случай

порты в POSTROUTING не надо указать (–to-source 192.168.10.1:8082) там NAT наверное

я правильно понимаю с 8082 бросается на 8081 значит и обратно надо указать, не?

alex_sim ★★★★
(18.11.21 11:24:26 MSK)

Ссылка

Ответ на: комментарий от anc 18.11.21 11:23:18 MSK

Это еще Москва, у меня помоему 20 руб в месяц за белый

alex_sim ★★★★
(18.11.21 11:27:57 MSK)

Ответ на: комментарий от ramneak 18.11.21 11:09:04 MSK

Показывайте все правила, выхлоп iptables-save

anc ★★★★★
(18.11.21 11:53:46 MSK)

Ответ на: комментарий от alex_sim 18.11.21 11:27:57 MSK

Могу предположить, что зато у вас с юриков три шкуры дерут, а у нас нахаляву/почти-нахаляву :) Я про белую статику.

anc ★★★★★
(18.11.21 11:59:45 MSK)

Ответ на: комментарий от anc 18.11.21 11:59:45 MSK

Не знаю как у них, а у нас у юриков халява. Да и у физиков тоже, кроме пары провайдеров. У одного из них 1 рубль в день. Я тоже про белую статитку.

turtle_bazon ★★★★★
(18.11.21 12:03:44 MSK)

Ответ на: комментарий от anc 18.11.21 11:59:45 MSK

Могу предположить, что зато у вас с юриков три шкуры дерут, а у нас нахаляву/почти-нахаляву :) Я про белую статику.

В офисе платим 40 тыс сразу за год, нам включают максимальную скорость (85 Mps), на заводе тоже что то 4 тыс в месяц, но там помесячно и скорость (10Mps должна быть заводчанам хватало, но залез проверил тоже 85 админы лоханулись похоже)

Для юрика разве это 3 шкуры!?!?! Это вообще цена инета, сколько там статика стоит не знаю.

~~Чикагинск~~ Челябинск, если что. ;)

alex_sim ★★★★
(18.11.21 12:11:55 MSK)
Последнее исправление: alex_sim 18.11.21 12:15:43 MSK (всего исправлений: 2)

Ответ на: комментарий от turtle_bazon 18.11.21 12:03:44 MSK

Раньше, лет 5-12 назад также было?

anc ★★★★★
(18.11.21 12:22:53 MSK)

Ответ на: комментарий от alex_sim 18.11.21 12:11:55 MSK

Я только про белую статику :) Три шкуры забыл в кавычки взять, подразумевал что она платная :)

anc ★★★★★
(18.11.21 12:27:34 MSK)

Ссылка

Ответ на: комментарий от anc 18.11.21 12:22:53 MSK

Я, если честно, плохо во времени ориентируюсь, но помню, что для юриков халява по белым адресам всегда была. Точнее даже не так - у юриков вообще не было серых нестатичных адресов.

turtle_bazon ★★★★★
(18.11.21 12:28:11 MSK)
Последнее исправление: turtle_bazon 18.11.21 12:28:31 MSK (всего исправлений: 1)

Ответ на: комментарий от turtle_bazon 18.11.21 12:28:11 MSK

Я про года не случайно написал, сталкивались с вариантами: «выделение адреса? дайте нцать денег». Причем именно за выделение.

anc ★★★★★
(18.11.21 12:50:20 MSK)

Ответ на: комментарий от anc 18.11.21 11:53:46 MSK

https://a.radikal.ru/a41/2111/ea/a98432816f48.png

ramneak
(18.11.21 13:04:37 MSK) автор топика

Ответ на: комментарий от anc 18.11.21 12:50:20 MSK

Я про года не случайно написал, сталкивались с вариантами: «выделение адреса? дайте нцать денег». Причем именно за выделение.

Скорее всего там было «дополнительного».

vodz ★★★★★
(18.11.21 13:13:56 MSK)

Ответ на: комментарий от vodz 18.11.21 13:13:56 MSK

Нет. Один из примеров как ша помню был в Владике.

anc ★★★★★
(18.11.21 13:16:09 MSK)

Ссылка

Ответ на: комментарий от ramneak 18.11.21 13:04:37 MSK

1. На будушее выкладывайте текстовый выхлоп сюда, а не скриншотами, отвечать на скриншот никакого удовольствия.
2. Я правильно догадался, это выхлоп с VPS ? Если да, то последнее правило SNAT ну совсем не по месту.

anc ★★★★★
(18.11.21 13:21:06 MSK)

Ответ на: комментарий от anc 18.11.21 13:21:06 MSK

Да, это VPS

root@vps:~# iptables-save
# Generated by iptables-save v1.8.4 on Thu Nov 18 17:36:48 2021
*filter
:INPUT ACCEPT [105:7104]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [96:15328]
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8082 -j ACCEPT
-A INPUT -p udp -m udp --dport 8082 -j ACCEPT
-A FORWARD -d 192.168.10.100/32 -p tcp -m tcp --dport 8081 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.17.0.0/24 -j ACCEPT
COMMIT
# Completed on Thu Nov 18 17:36:48 2021
# Generated by iptables-save v1.8.4 on Thu Nov 18 17:36:48 2021
*nat
:PREROUTING ACCEPT [17:995]
:INPUT ACCEPT [16:796]
:OUTPUT ACCEPT [6:456]
:POSTROUTING ACCEPT [8:560]
-A PREROUTING -d x.x.x.x/32 -p tcp -m tcp --dport 8082 -j DNAT --to-destination 192.168.10.100:8081
-A OUTPUT -d x.x.x.x/32 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.10.100
-A POSTROUTING -s 172.17.0.0/24 ! -d 172.17.0.0/24 -j SNAT --to-source x.x.x.x
COMMIT
# Completed on Thu Nov 18 17:36:48 2021
root@vps:~#

ramneak
(18.11.21 13:40:20 MSK) автор топика

Ответ на: комментарий от ramneak 18.11.21 13:40:20 MSK

Так заработало или нет? Если нет, то ещё выхлоп iptables-save с user03.ovpn (vpn_ip: 172.17.0.3, роутер)

anc ★★★★★
(18.11.21 14:23:50 MSK)

Ответ на: комментарий от anc 18.11.21 14:23:50 MSK

Не заработало!

Лог с роутера:

# Generated by iptables-save v1.4.16.3 on Thu Nov 18 11:35:09 2021
*nat
:PREROUTING ACCEPT [66969:10621976]
:INPUT ACCEPT [12147:783773]
:OUTPUT ACCEPT [815:249649]
:POSTROUTING ACCEPT [849:251417]
:upnp - [0:0]
:upnp-post - [0:0]
:vserver - [0:0]
-A PREROUTING -d 192.168.1.192/32 -j vserver
-A POSTROUTING -s 192.168.10.0/24 -o eth2.2 -j SNAT --to-source 192.168.1.192
-A POSTROUTING -s 192.168.10.0/24 -d 192.168.10.0/24 -o br0 -j SNAT --to-source 192.168.10.1
-A vserver -j upnp
COMMIT
# Completed on Thu Nov 18 11:35:09 2021
# Generated by iptables-save v1.4.16.3 on Thu Nov 18 11:35:09 2021
*filter
:INPUT ACCEPT [23958:2249033]
:FORWARD ACCEPT [77748:4435888]
:OUTPUT ACCEPT [106002:22751475]
:bfplimit - [0:0]
:upnp - [0:0]
:vpnlist - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Nov 18 11:35:09 2021

ramneak
(18.11.21 14:37:41 MSK) автор топика

Ответ на: комментарий от ramneak 18.11.21 14:37:41 MSK

Очень грубо: iptables -t nat -A POSTROUTING -d 192.168.10.100 -j MASQUERADE

anc ★★★★★
(18.11.21 15:24:42 MSK)

Ответ на: комментарий от anc 18.11.21 15:24:42 MSK

Спасиб, заработало )

ramneak
(18.11.21 15:30:30 MSK) автор топика

Ответ на: комментарий от ramneak 18.11.21 15:30:30 MSK

Ну вот теперь в качестве факультатива, можете решить задачку по фэншую. Но предупреждаю, это будет не просто. :)

anc ★★★★★
(18.11.21 15:32:03 MSK)

Ссылка

Ответ на: комментарий от anc 18.11.21 12:50:20 MSK

Я понимаю, что за 10-15 лет много чего могло поменяться. Но вот сколько себя я помню, по месту моей деревни было так.

turtle_bazon ★★★★★
(18.11.21 16:24:54 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройка ufw для доступа к сайту через openvpn

Admin

Почему не запускается сервис?

→

Похожие темы