Автор Тема: Порт форвардинг в OpenVPN (Прочитано 2391 раз)

Lenon · « : 24 Февраля 2014, 02:12:54 »

Есть VPS, система Debian 7 minimal 32-битная, виртуализация OpenVZ. Установил OpenVPN. VPS имеет выделенный IP, нужно пробросить порты с IP адреса VPS на компьютер в подсети OpenVPN 10.8.0.6.
IP адрес интерфейса при подключении к VPN всегда 10.8.0.6

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

local IP_АДРЕС_СЕРВЕРА
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp" 
push "dhcp-option DNS 8.8.8.8" 
push "dhcp-option DNS 8.8.4.4" 
client-to-client 
keepalive 10 120
tls-auth ta.key 0 
comp-lzo
user nobody 
group nobody 
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log 
verb 3
mute 20

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          inet6 addr: 2a00:dcc0:eda:88:245:71:c8a0:53f8/128 Scope:Global
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:955 errors:0 dropped:0 overruns:0 frame:0
          TX packets:872 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:107570 (105.0 KiB)  TX bytes:121078 (118.2 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:IP_АДРЕС_СЕРВЕРА  P-t-P:IP_АДРЕС_СЕРВЕРА  Bcast:IP_АДРЕС_СЕРВЕРА  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

Нашел похожую тему iptables+vds+openvpn http://www.linux.org.ru/forum/admin/9814015 пишу правила Iptables. Открываю порт 51060.

Код: [Выделить]

iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p tcp --dport 51060 -j DNAT --to-destination 10.8.0.6
iptables -t nat -A POSTROUTING --dst 10.8.0.6 -p tcp --dport 51060 -j SNAT --to-source 10.8.0.1
iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p udp --dport 51060 -j DNAT --to-destination 10.8.0.6
iptables -t nat -A POSTROUTING --dst 10.8.0.6 -p udp --dport 51060 -j SNAT --to-source 10.8.0.1

Проверяю nmap, порт на сервере открыт.

Код: [Выделить]

nmap -sU -p 51060 IP_АДРЕС_СЕРВЕРА

Starting Nmap 6.40 ( http://nmap.org ) at 2014-02-23 17:08 Московское время (зима)
Nmap scan report for IP_АДРЕС_СЕРВЕРА
Host is up (0.075s latency).
PORT      STATE         SERVICE
51060/udp open|filtered unknown

Nmap done: 1 IP address (1 host up) scanned in 5.55 seconds

Код: [Выделить]

nmap -p 51060 IP_АДРЕС_СЕРВЕРА

Starting Nmap 6.40 ( http://nmap.org ) at 2014-02-23 17:07 Московское время (зима)
Nmap scan report for IP_АДРЕС_СЕРВЕРА
Host is up (0.085s latency).
PORT      STATE SERVICE
51060/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 4.91 seconds

Но до меня входящие не доходят. Что нужно исправить в правилах Iptables?

fisher74 · « **Ответ #1 :** 24 Февраля 2014, 08:32:20 »

Цитата: Lenon от 24 Февраля 2014, 02:12:54

Есть VPS, система Debian 7 minimal 32-битная,

Оффтоп

Цитата: Lenon от 24 Февраля 2014, 02:12:54

iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p tcp --dport 51060 -j DNAT --to-destination 10.8.0.6
~~iptables -t nat -A POSTROUTING --dst 10.8.0.6 -p tcp --dport 51060 -j SNAT --to-source 10.8.0.1~~
iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p udp --dport 51060 -j DNAT --to-destination 10.8.0.6
~~iptables -t nat -A POSTROUTING --dst 10.8.0.6 -p udp --dport 51060 -j SNAT --to-source 10.8.0.1~~

Возможно коррекции неверны. Необходимо ещё посмотреть клиентский конфиг OpenVPN

Цитата: Lenon от 24 Февраля 2014, 02:12:54

Но до меня входящие не доходят.

Как определили?

Цитата: Lenon от 24 Февраля 2014, 02:12:54

Что нужно исправить в правилах Iptables?

В топике пока только команды добавления правил. Результирующих правил не показано, а телепатить в понедельник утром - себя не уважать. Значит рекомендаций по правке дать нет возможности, извините

Lenon · « **Ответ #2 :** 24 Февраля 2014, 21:58:54 »

Спасибо. После добавления только этих команд, входящие соединения заработали

Код: [Выделить]

iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p tcp --dport 51060 -j DNAT --to-destination 10.8.0.6
iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p udp --dport 51060 -j DNAT --to-destination 10.8.0.6

Что не доходят входящие определил в µTorrent. Я давно ищу способ определить работают ли входящие соединения. Как правильно можно определить работают входящие соединения или нет?

Можно перечислять порты в команде через запятую чтобы не писать много команд?

Код: [Выделить]

iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p tcp --dport 51060, 52205, 55110 -j DNAT --to-destination 10.8.0.6
iptables -t nat -A PREROUTING --dst IP_АДРЕС_СЕРВЕРА -p udp --dport 51060, 52205, 55110 -j DNAT --to-destination 10.8.0.6

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

client 
remote IP_АДРЕС_СЕРВЕРА 1194
proto udp
dev tun 
push "redirect-gateway def1"
resolv-retry infinite 
nobind 
persist-key 
persist-tun 
ca ca.crt 
cert client.crt
key client.key 
remote-cert-tls server
tls-client
tls-auth ta.key 1
comp-lzo
verb 3
mute 20

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 127.0.0.1:53                0.0.0.0:*                   LISTEN      593/dnsmasq
tcp        0      0 10.8.0.1:53                 0.0.0.0:*                   LISTEN      593/dnsmasq
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      519/sshd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      549/sendmail
tcp        0      0 :::80                       :::*                        LISTEN      565/httpd
tcp        0      0 :::22                       :::*                        LISTEN      519/sshd
udp        0      0 IP_АДРЕС_СЕРВЕРА:1194       0.0.0.0:*                               507/openvpn
udp        0      0 127.0.0.1:53                0.0.0.0:*                               593/dnsmasq
udp        0      0 10.8.0.1:53                 0.0.0.0:*                               593/dnsmasq
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     1606010207 1/init              @/com/ubuntu/upstart
unix  2      [ ACC ]     STREAM     LISTENING     1606011095 533/saslauthd       /var/run/saslauthd/mux

Правила Iptables

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.4.7 on Mon Feb 24 19:35:43 2014
*nat
:PREROUTING ACCEPT [12595:1362311]
:POSTROUTING ACCEPT [5122:621154]
:OUTPUT ACCEPT [279:20713]
-A PREROUTING -d IP_АДРЕС_СЕРВЕРА/32 -p tcp -m tcp --dport 51060 -j DNAT --to-destination 10.8.0.6
-A PREROUTING -d IP_АДРЕС_СЕРВЕРА/32 -p udp -m udp --dport 51060 -j DNAT --to-destination 10.8.0.6
-A POSTROUTING -o venet0 -j SNAT --to-source 37.247.52.134
COMMIT
# Completed on Mon Feb 24 19:35:43 2014
# Generated by iptables-save v1.4.7 on Mon Feb 24 19:35:43 2014
*mangle
:PREROUTING ACCEPT [285948:151827546]
:INPUT ACCEPT [91977:35209931]
:FORWARD ACCEPT [193971:116617615]
:OUTPUT ACCEPT [107579:94772099]
:POSTROUTING ACCEPT [301550:211389714]
COMMIT
# Completed on Mon Feb 24 19:35:43 2014
# Generated by iptables-save v1.4.7 on Mon Feb 24 19:35:43 2014
*filter
:INPUT ACCEPT [91977:35209931]
:FORWARD ACCEPT [5901:691740]
:OUTPUT ACCEPT [107579:94772099]
-A FORWARD -i venet0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o venet0 -j ACCEPT
COMMIT
# Completed on Mon Feb 24 19:35:43 2014

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Chain INPUT (policy ACCEPT 91963 packets, 35M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 5898 packets, 691K bytes)
 pkts bytes target     prot opt in     out     source               destination
99387   87M ACCEPT     all  --  venet0 tun0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
88683   29M ACCEPT     all  --  tun0   venet0  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 108K packets, 95M bytes)
 pkts bytes target     prot opt in     out     source               destination

Форум русскоязычного сообщества Ubuntu

Автор Тема: Порт форвардинг в OpenVPN (Прочитано 2391 раз)

Lenon

Порт форвардинг в OpenVPN

fisher74

Re: Порт форвардинг в OpenVPN

Lenon

Re: Порт форвардинг в OpenVPN