Доступ к хосту в сети openvpn из Интернет

[AnrDaemon]

AnrDaemon, ?

INPUT DROP указывает, что все входящие пакеты должны быть отброшены.

Пакеты для других узлов сети НИКОГДА не попадут в filter/INPUT.
Открываем карту роутинга пакетов в нетфильтре, освежаем память.

[ALiEN]

Поковырял iptables, вроде так:

Код: [Выделить]

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING  -p tcp --dport 80 -j DNAT --to-destination 192.168.254.13
iptables -t nat -A POSTROUTING -d 192.168.254.13 -p tcp --dport 80 -j MASQUERADE

[kolesov]

Всем спасибо, за проявленное внимание!
Пока отвлекся от данного вопроса, но не забыл о нем.
Нужно будет разобраться с прохождением пакетов при работе дефолтного маршрута через ISP, на стороне клиента.

[kolesov]

В общем для решения задачи требуется два правила:

Код: [Выделить]

iptables -A PREROUTING -i em0 -p tcp -m tcp -d [EXTERNAL_IP] --dport 1917 -j DNAT --to-destination 192.168.254.13:80
iptables -A FORWARD -i em0 -o br0 -d 192.168.51.9 -p tcp -m tcp --dport 80 -j ACCEPT

Этих правил достаточно, чтобы из Интернет по EXTERNAL_IP:1917 стал доступен сервис.

Чтобы удаленное соединение использовало свой шлюз по умолчанию, а не openvpn сервера нужно закомментить в файле /etc/openvpn/client.conf строку redirect-gateway привести к виду (т.е. закоментить).

Код: [Выделить]

#redirect-gateway
и в файле /etc/openvpn/vpn-tun/ccd/cLiEnT_nAMe  (т.е. на сервере) добавить строку

Код: [Выделить]

push "route 192.168.51.0 255.255.255.192"

[fisher74]

И Вы ошибаетесь.
Правило

Код: [Выделить]

iptables -A FORWARD -i em0 -o br0 -d 192.168.51.9 -p tcp -m tcp --dport 80 -j ACCEPTне относится к пакетам обработанных праилом

Код: [Выделить]

iptables -A PREROUTING -i em0 -p tcp -m tcp -d [EXTERNAL_IP] --dport 1917 -j DNAT --to-destination 192.168.254.13:80

[AnrDaemon]

fisher74, Почему?

[fisher74]

потому что после правила DNAT destination-address в пакетах не будет равен 192.168.51.9, соответсnвенно, будут  проходить мимо указанного Вами правила фильтрации.

[AnrDaemon]

А, упустил этот момент.

[MooSE]

Как сделать так, чтобы работало с обычным маршрутом ISP провайдера пока не разобрался.

Тут как в анекдоте "два путя":

1. На VPN-сервере NAT'ить пакеты, идущие в адрес клиента. Тогда клиент будет получать все запросы как будто бы из внутренней сети VPN и отвечать на них туда же. Но в этом случае веб-сервер не будет видеть реальных адресов клиентов.

2. На машине с веб-сервером настроить маршруты таким образом, чтобы маршрутом по умолчанию для пакетов с source-адресом VPN-интерфейса был внутренний адрес VPN-сервера (не уверен что понятно объяснил. настраивается легче чем описывается).

Ну и ещё есть совсем простой вариант: поднять на VPN-сервере реверс-прокси и не мучаться с редиректом TCP-трафика.

[kolesov]

fisher74,

И Вы ошибаетесь.

Спасибо за ответ. Мне самому казалось, что тут какая-то магия)
Но почему оно работает?

А если правила будут такие:

Код: [Выделить]

iptables -A FORWARD -i em0 -o br0 -d 192.168.51.9 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A PREROUTING -i em0 -p tcp -m tcp -d [EXTERNAL_IP] --dport 1917 -j DNAT --to-destination 192.168.51.9:80
или

Код: [Выделить]

iptables -A FORWARD -i em0 -o br0 -d 192.168.254.13 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A PREROUTING -i em0 -p tcp -m tcp -d [EXTERNAL_IP] --dport 1917 -j DNAT --to-destination 192.168.254.13:80
Будет работать? Ведь 192.168.254.13-192.168.51.9 этот один и тот же хост, 254.13-адрес транспортной сети vpn, 51.9-адрес для маршрутизируемых сетей.

К сожалению, у меня сейчас нет возможности включить хост 192.168.254.13-192.168.51.9...

[kolesov]

ALiEN, все верно Ваш вариант рабочий.

Код: [Выделить]

iptables -t nat -A PREROUTING -i em0 -p tcp -m tcp -d [EXT-IP] --dport 80 -j DNAT --to-destination 192.168.51.9:80
iptables -A FORWARD -i em0 -o br0 -d 192.168.51.9 -p tcp -m tcp --dport 80 -j ACCEPT
Вот это правило:

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 192.168.51.9 -p tcp -m tcp --dport 80 -j MASQUERADEименно для того, что я изначально хотел, чтобы openvpn-client использовал свое Интернет-соединение, т.е. чтобы не было

Код: [Выделить]

redirect-gatewayна клиенте.

Но у меня остался вопрос...
Как именно работает это правило? Оно нужно именно для той схемы, когда маршруты по умолчанию и сервера и клиента разные.

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 192.168.51.9 -p tcp -m tcp --dport 80 -j MASQUERADE
Например я пробовал сделать так:

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 192.168.51.9 -p tcp -m tcp --dport 80 -o em0 -j SNAT --to-source [EXT-IP]Как я мыслю... У меня выделенный EXT-IP и покидая интерфейс пакету назначается этот IP при MASQUERADE, так почему же не срабатывает --to-source [EXT-IP]?
Поясните пожалуйста этот момент.

[ALiEN]

iptables -t nat -A POSTROUTING -d 192.168.51.9 -p tcp -m tcp --dport 80 -o em0 -j SNAT --to-source [EXT-IP]

Нужно -s. Изменение пакета источника, а не получателя.