NAT и PORT-FORWARDING через PPTP

[rekrut683]

Ситуация следующая:
1. Есть маршрутизатор с внешним IP.
2. Есть ubuntu server внутри локальной сети роутера. Локальная сеть роутера 192.168.0.0. Адрес убунты - 192.168.1.68 (для понимания)
3. на убунте поднят pptp-server (порт 1723)
4. есть форвардинг с роутера на Ubuntu (1723). все работает.
5. есть клиент pptp, который коннектиться к убунте. На клиенте тоже Ubuntu.
6. Сеть pptp 10.1.0.0.
7. Адрес убунты для интерфейса eth0 , который смотрит на роутер 192.168.1.68
Адрес убунты для интерфейса ppp+, который смотрит в pptp 10.1.0.1
8. У клиента есть стрим видео на порту 8080.
9. Мне необходимо увидеть этот стрим из интернета.
10. Сделал форвардинг порта 5001 с роутера на Ubuntu.
11. Пытаюсь теперь порт клиента 8080 (на котором стрим) прокинуть на интерфейс убунты eth0 192.168.1.68:5001
Вот в этом то и вопрос? как сделать? Пробовал всеразличные варианты с iptables. Не работает ни в какую.
ip forwarding на убунте включен.
Сама Ubuntu сервер видит и пингует клиента 10.1.0.10
Очень прошу помощи.

[koshev]

Короче говоря, по внешнему адресу роутера IP:PORT нужно получить стрим с 10.1.0.1:8080 

Очень прошу помощи.

Покажите конфигурацию с 192.168.1.68. Всего, что Вы на нём настроили. С роутера возможно тоже, кстати.
(под спойлер с тегом )
Может глаз "замылился", а Вы не заметили.

[uboom]

8. У клиента есть стрим видео на порту 8080.
9. Мне необходимо увидеть этот стрим из интернета.
10. Сделал форвардинг порта 5001 с роутера на Ubuntu.
11. Пытаюсь теперь порт клиента 8080 (на котором стрим) прокинуть на интерфейс убунты eth0 192.168.1.68:5001

Что то вы тут накрутили - без бутылки не разобраться.
Если сеть впн поднимается и сервер и клиент друг друга видят - зачем вы к роутеру лезете?
Если видео стремится с клиента 10.1.0.10, то с сервера, обратившись на адрес 10.1.0.10 и нужный порт вы увидите видео (на самом сервере впн). Если это видео нужно в локальную сеть сервера транслировать (192.168.1.0/24 (у вас вначале опечатка видимо - указана сеть 0.0)), то нужно просто настроить маршруты с 192.168.1.0/24 в сеть 10.1.0.0/24 по всем портам (если конечно же у вас там нет никаких дополнительных противоречащих этим правил).

А вы на роутер зачем то опять лезете. Но это если я все верно понял и написал. Верно понял?

[rekrut683]

На роутер я лезу, потому что у него белый ip. и мне это видео нужно смотреть и интернета.
Да, в локалке я смогу увидеть это видео, например с какого-нибудь хоста 192.168.1.х.
Но мне нужно из интернета, не подключаясь к ВПН. Т.е. тот человек, который будет подключатся к видео - это не я сам, а клиенты, которые заплатили денег. И им объяснять, что они с мобильного тел. должны также подключится по ВПН не есть гуд. Поэтому хочу этот стрим завернуть в инет.

[uboom]

То есть тебе нужно с впн клиента трафик завернуть на свой же внешний белый ip, так?

[rekrut683]

Короче говоря, по внешнему адресу роутера IP:PORT нужно получить стрим с 10.1.0.1:8080 

Вот это в точку.

То есть тебе нужно с впн клиента трафик завернуть на свой же внешний белый ip, так?

да, чтобы по обращению из браузера на внешний IP: Port меня перекидывало на впн клиента (Порт 8080)
Пользователь добавил сообщение 16 Июня 2019, 09:01:47:Все что есть по конфигам:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

ifconfig

Код: [Выделить]

route -n

Код: [Выделить]

iptables-save

Код: [Выделить]

ip forwarding

Больше ничего не трогал

[uboom]

Тогда показывай какие правила на сервере сделаны и какой Тулзой пользуешься (ufw, iptables).
По сути тебе нужно завернуть трафик с 10.1.0.10:8080 на 192.168.1.1:5001, который форвардится на роутере.
Пользователь добавил сообщение 16 Июня 2019, 09:03:29:Ага, пока я писал - ты уже добавил. Ща до компа доберусь.
Пользователь добавил сообщение 16 Июня 2019, 09:25:48:Вот сейчас надо быть особенно аккуратным и не принимать все что я даю за 100% правду (могу и я ошибиться/опечататься), в идеале находится за монитором сервера, а не по ssh.

Итак, заворачиваем трафик с роутера в впн-клиент так (свое правило удали):

Код: [Выделить]

pc:~$ iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 10.1.0.10:8080
Пробуй.
ЗЫ: Во многих роутерах форвард трафика из внутреннего интерфейса при обращении на внешний запрещен, так что для проверки лучше кого-то просить подключиться извне или с мобилы через мобильный интернет.

[koshev]

Честно говоря, думал, что текстовую информацию Вы просто скопируете текстом. Это проще, как мне казалось. Ну ладно.
Меня смущает маршрут 10.1/24 via 192.168.1.1, попробуйте его убрать.
Из локалки, если обращаться на 192.168.1.68:5001 Вы видите поток, правильно?

[rekrut683]

Пробуй.

Не работает все равно. Честно, я перепробовал уже тысячу вариантов правил для iptables. ЧТо у меня складывается впечатление, что проблема не в iptables, где-то на другому уровне.

Из локалки, если обращаться на 192.168.1.68:5001 Вы видите поток, правильно?

Вот. В том и дело, что нет. Я и из локалки не вижу. Т.е. маршрутизация НАТ не срабатывает и не перекидывает туда пакеты с впн-клиента

[uboom]

Т.е. маршрутизация НАТ не срабатывает и не перекидывает туда пакеты с впн-клиента

Тогда нужно еще явно указать форвардинг пакетов между интерфейсами (eth0 и pptp).

[rekrut683]

Тогда нужно еще явно указать форвардинг пакетов между интерфейсами (eth0 и pptp).

Это каким образом?

[uboom]

Думаю так:

Код: [Выделить]

pc:~$ iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
pc:~$ iptables -A FORWARD -i ppp0 -o eth0 -j ACCEPT
Пользователь добавил сообщение 16 Июня 2019, 10:03:13:А вообще логи бы глянуть.....

[rekrut683]

А вообще логи бы глянуть.....

Логи какие? Логи чего именно?
Могу все что нужно посмотреть, скинуть..
Пользователь добавил сообщение 16 Июня 2019, 19:25:50:Кидаю логи syslog -  процесс загрузки и подключения клиента ppp.
Там меня смутило 2 момента :
1. есть некий bcrelay между ppp0 и eth0. Что это за штука такая? не может она что-то делать
2. В самом низу пишет что клиент ppp0 unavailable , хотя с клиентом все впорядке

[AnrDaemon]

bcrelay позволяет пропускать broadcast трафик между туннелем и сетью, в которую входит серверный IP.
Например, для работы виндового ресолвера.

[valrust]

• На роутере сделать настройку форвардинга ExtIP:5001 на 192.168.1.68:5001
• На Ubuntu должен быть включен параметр ядра net.ipv4.ip_forward
• На Ubuntu нужны только эти правила (другие удалить).

Код: [Выделить]

iptables -A FORWARD -i eth0 -p udp -d 192.168.1.68 --dport 5001 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.68 --dport 5001 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 10.1.0.10:8080
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 5001 -j DNAT --to-destination 10.1.0.10:8080