Тунельное соеденение, проброс протов, iptables

0

1

Всем привет, столкнулся с проблеймой коорой не могу справиться прошу помощи, и того имеем 2 сервера под управлением linux 1) linux Debian стоит в стойке на колакейшене, имеет физический 1 интерфейс eth0 c айпи x.x.x.x это внешний постоянный айпи 2) linux CentOS стоит внутри локалки, так как айпи постоянно меняеться

нужно сделать проброс портов, сделано: [Debian] настроен OpenVpn [Debina] [Server OpenVpn] tun0 inet addr:192.168.10.1 P-t-P:192.168.10.2 Mask:255.255.255.255 [CentOS] [client OpenVpn] tun0 inet addr:192.168.10.6 P-t-P:192.168.10.5 Mask:255.255.255.255 пинг, ssh - внутри данной сети работают стабильно

дальше мне нужно пробросить входящее соеденение на 2222 порт через vpn тунель на [CentOS] в порт 22 и так что сделано и опробовано как не рабочее: [debian]

iptables -I INPUT -p tcp -m tcp --dport 2222 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 192.168.10.6:22

iptables -A FORWARD -i eth0 -p tcp --dport 2222 -d 192.168.10.6 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to-destination 192.168.10.6:22

подскажите что я делаю не правельно и почему не работает ?

Ссылка

←	команды терминала

как изменить назначение клавиш на клавиатуре Deepin linux

→

Само решение выглядит крайне странно и наталкивает на мысль о проблемах с роутингом.

В чем странность. Если есть openvpn с дебиана в локалку, зачем тебе пробрасывать порты? Все должно работать и так.

Предположу, что обратный поток не возвращается на дебиан. Подключись к интерфейсам через tshark да посмотри, где трафик обрывается и какие адреса в нем.

~~AVL2~~ ★★★★★
(23.06.17 21:44:25 MSK)

Ответ на: комментарий от AVL2 23.06.17 21:44:25 MSK

openvpn не в локалк, а из локалки

почему кране странно, есть сервак он стоит в стойке(сервер VPN). Внутри офисной локалки стоит сервак видео наблюдения, он конектиться (клинет VPN) на сервак, я не придумал как подобную проблему решить по другому

задача из мира (под логином паролем) заходить на сервер видео наблюдения.

vilenmax
(23.06.17 22:02:17 MSK) автор топика

Ответ на: комментарий от vilenmax 23.06.17 22:02:17 MSK

Да это не важно откуда и куда openvpn. Как только у тебя openvpn соединение поднялось, оно работает в обе стороны.

Разумно решить проблему комплексно, то есть поставить shorewall. Хост с дебианом тебе все равно надо защищать. Делать это ручными средствами iptables недальновидно с точки зрения поддерживаемости.

А пока что

1) проверь, включен ли форвардинг ip на дебиане.

cat /proc/sys/net/ipv4/ip_forward

а далее tshark -i eth0 port 2222 и смотри, пришли запросы. ушли они в openvpn и т.д.

~~AVL2~~ ★★★★★
(24.06.17 00:17:06 MSK)

Ответ на: комментарий от AVL2 24.06.17 00:17:06 MSK

в общем, с дебиана по opevpn пакет доходит, а вот обратно - нет. вот таблицы маршрутизации: внешний сревер, он же openVpn сервер default x.x..x 0.0.0.0 UG 0 0 0 eth0 x.x.x.x * 255.255.254.0 U 0 0 0 eth0 192.168.10.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0 192.168.10.2 * 255.255.255.255 UH 0 0 0 tun0

вот таблица openvpn клиента 192.168.10.1 192.168.10.5 255.255.255.255 UGH 0 0 0 tun0 192.168.10.5 * 255.255.255.255 UH 0 0 0 tun0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 1002 0 0 eth0 default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

что не так :(

vilenmax
(24.06.17 09:16:09 MSK) автор топика

Ответ на: комментарий от vilenmax 24.06.17 09:16:09 MSK

Ну кто ж кроме тебя узнает.

Пришло, уже неплохо. Цепляйся к tun0 на своем центосе и смотри, что к нему точно пришел запрос (и с какого адреса, может нат не работает), а ответа нет. Потом смотри на eth0 на нем же, скорее всего ответ там. Если ответа нет, значит файрволл на центосе блочит.

По роутингу вызывает сомнение запись с маской 255.255.0.0 на eth0 Эта маска покрывает обе подсети.

~~AVL2~~ ★★★★★
(24.06.17 10:33:38 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	команды терминала

General

как изменить назначение клавиш на клавиатуре Deepin linux

→

Похожие темы