LINUX.ORG.RU

Тунельное соеденение, проброс протов, iptables

 ,


0

1

Всем привет, столкнулся с проблеймой коорой не могу справиться прошу помощи, и того имеем 2 сервера под управлением linux 1) linux Debian стоит в стойке на колакейшене, имеет физический 1 интерфейс eth0 c айпи x.x.x.x это внешний постоянный айпи 2) linux CentOS стоит внутри локалки, так как айпи постоянно меняеться

нужно сделать проброс портов, сделано: [Debian] настроен OpenVpn [Debina] [Server OpenVpn] tun0 inet addr:192.168.10.1 P-t-P:192.168.10.2 Mask:255.255.255.255 [CentOS] [client OpenVpn] tun0 inet addr:192.168.10.6 P-t-P:192.168.10.5 Mask:255.255.255.255 пинг, ssh - внутри данной сети работают стабильно

дальше мне нужно пробросить входящее соеденение на 2222 порт через vpn тунель на [CentOS] в порт 22 и так что сделано и опробовано как не рабочее: [debian]

iptables -I INPUT -p tcp -m tcp --dport 2222 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 192.168.10.6:22

iptables -A FORWARD -i eth0 -p tcp --dport 2222 -d 192.168.10.6 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to-destination 192.168.10.6:22

подскажите что я делаю не правельно и почему не работает ?

Само решение выглядит крайне странно и наталкивает на мысль о проблемах с роутингом.

В чем странность. Если есть openvpn с дебиана в локалку, зачем тебе пробрасывать порты? Все должно работать и так.

Предположу, что обратный поток не возвращается на дебиан. Подключись к интерфейсам через tshark да посмотри, где трафик обрывается и какие адреса в нем.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

openvpn не в локалк, а из локалки

почему кране странно, есть сервак он стоит в стойке(сервер VPN). Внутри офисной локалки стоит сервак видео наблюдения, он конектиться (клинет VPN) на сервак, я не придумал как подобную проблему решить по другому

задача из мира (под логином паролем) заходить на сервер видео наблюдения.

vilenmax
() автор топика
Ответ на: комментарий от vilenmax

Да это не важно откуда и куда openvpn. Как только у тебя openvpn соединение поднялось, оно работает в обе стороны.

Разумно решить проблему комплексно, то есть поставить shorewall. Хост с дебианом тебе все равно надо защищать. Делать это ручными средствами iptables недальновидно с точки зрения поддерживаемости.

А пока что

1) проверь, включен ли форвардинг ip на дебиане.

cat /proc/sys/net/ipv4/ip_forward

а далее tshark -i eth0 port 2222 и смотри, пришли запросы. ушли они в openvpn и т.д.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

в общем, с дебиана по opevpn пакет доходит, а вот обратно - нет. вот таблицы маршрутизации: внешний сревер, он же openVpn сервер default x.x..x 0.0.0.0 UG 0 0 0 eth0 x.x.x.x * 255.255.254.0 U 0 0 0 eth0 192.168.10.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0 192.168.10.2 * 255.255.255.255 UH 0 0 0 tun0

вот таблица openvpn клиента 192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0 192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth0 default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

что не так :(

vilenmax
() автор топика
Ответ на: комментарий от vilenmax

Ну кто ж кроме тебя узнает.

Пришло, уже неплохо. Цепляйся к tun0 на своем центосе и смотри, что к нему точно пришел запрос (и с какого адреса, может нат не работает), а ответа нет. Потом смотри на eth0 на нем же, скорее всего ответ там. Если ответа нет, значит файрволл на центосе блочит.

По роутингу вызывает сомнение запись с маской 255.255.0.0 на eth0 Эта маска покрывает обе подсети.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.