белый IP через openVPN. (Проброс с одного интерфеса на другой?) Как?

[Duff072]

Друзья, помогите!
Есть дома интернет Yota, c серым ip, и NAS на OMV (debian)
Есть VPS с двумя белыми IP. (ubuntu)
Хочется, чтоб до NAS ,был доступ из интернета, и у NAS был открытий порт для торрента.

Сейчас со стороны NAS поднят VPN (openVPN) к VPS к eth0

P.S. VPN на сервере в режиме моста не захотел стартовать, интерфейсы отвалились. проблема, как кажется, в виртуальном адаптере eth0:1. Чудом через поддержку вернули всё назад.

Как это проще организовать?

ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:16:3e:81:9e:a4 
          inet addr:ВНЕШНИЙ_IP1  Bcast:xxxxxxxxxxxxxx  Mask:255.255.255.0
          inet6 addr: xxxxxxxxxxxxxxx Scope:Общий
          inet6 addr: xxxxxxxxxxxxxxxx Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2574 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1528 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3450140 (3.4 MB)  TX bytes:194582 (194.5 KB)
          Interrupt:25

eth0:1    Link encap:Ethernet  HWaddr 00:16:3e:81:9e:a4 
          inet addr: ВНЕШНИЙ_IP2  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:25

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

route:

(Нажмите, чтобы показать/скрыть)

Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         ВНЕШНИЙ_IP1     0.0.0.0         UG    100    0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
xxxxxxxxxxxx    *               255.255.255.0   U     0      0        0 eth0

Пользователь решил продолжить мысль 17 Мая 2013, 16:13:57:ТАК будет работать?

Код: [Выделить]

sudo iptables –t nat –A PREROUTING -i eth0:1 –p tcp –dport 80 –j DNAT –to-destination 10.8.0.6:80
sudo iptables –t nat –A PREROUTING -i eth0:1 –p tcp –dport 8080 –j DNAT –to-destination 10.8.0.6:8080
sudo iptables –t nat –A PREROUTING -i eth0:1 –p tcp –dport 10000 –j DNAT –to-destination 10.8.0.6:10000

[AnrDaemon]

Не будет.

[Duff072]

Не будет.

а как? в какую сторону копать?

[AnrDaemon]

"-i eth0:1" работать не будет никогда. Читайте мануалы внимательнее.
Если хотите все пакеты с одного адреса завернуть на другой, вам скорее всего достаточно настроить маршрутизацию.

[Duff072]

"-i eth0:1" работать не будет никогда. Читайте мануалы внимательнее.
Если хотите все пакеты с одного адреса завернуть на другой, вам скорее всего достаточно настроить маршрутизацию.

Да, это и нужно, но как?
И сейчас понимаю, что выборочно будет безопаснее

По iptables

Код: [Выделить]

sudo iptables –t nat –A PREROUTING –p tcp -d ВНЕШНИЙ_IP2 -–dport 80 –j DNAT -–to-destination 10.8.0.6:80Будет работать? Вроде в соответствии с http://www.opennet.ru/docs/RUS/iptables/index.html#DNATTARGET:

[AnrDaemon]

-t nat -A PREROUTING -d $ext_ip2 -j DNAT $int_ip
Раз уже решили все - так все и перенаправляйте.

[Duff072]

-t nat -A PREROUTING -d $ext_ip2 -j DNAT $int_ip
Раз уже решили все - так все и перенаправляйте.

Спасибо большое за помощь, но не помогло.
Сам сервер отвечать перестал, но и запросы дальше не идут. буду курить мануал.
Не совсем разобрался с openvpn и адресами локальными. использовал внутренний IP 10.8.0.6

На сервере:

Код: [Выделить]

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1216 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1434 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:133783 (133.7 KB)  TX bytes:122146 (122.1 KB)
На клиенте:

Код: [Выделить]

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4483 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4339 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:377837 (368.9 KiB)  TX bytes:398735 (389.3 KiB)

При этом пингуют друг друга на адреса 10.8.0.1 и 10.8.0.6. Что за адреса 10.8.0.2 и 10.8.0.5 непонятно

[AnrDaemon]

Берите в зубы tcpdump и смотрите, что у вас куда ходит.
Возможно, у вас клиент пытается ответные пакеты пересылать через другой шлюз.

[Duff072]

Берите в зубы tcpdump и смотрите, что у вас куда ходит.
Возможно, у вас клиент пытается ответные пакеты пересылать через другой шлюз.

Да, Вы правы, спасибо за помощь, так оно и есть. VPN клиент не отвечает на запросы, но принимает их, точнее отвечает, но шлет в локальную сеть.
Сначала хотел шлюз поменять, а потом понял. что нельзя, т.к. ВПН поднят через него.
Подскажите, пожалуйста, куда копать. как это проще сделать на клиенте? или только через iptables (здесь готова идет кругом)?

Извиняюсь, но я не силен (совсем) в сетях и линуксах (только начал интересоваться), но стараюсь понять и изучить, по мере свободного времени.

Маршруты на клиенте:

Код: [Выделить]

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.8.0.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.8.0.1        10.8.0.5        255.255.255.255 UGH       0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth0


[AnrDaemon]

Что-то голова отказывает. Не уверен, что на клиенте это можно решить одним только маршрутом.
Вероятно, можно построить схему, идентичную той, что я слепил для двух роутеров
http://anr-daemon.livejournal.com/1655.html
У вас будет немного прямее, так как интерфес расположен прямо на машине.

[Duff072]

Что-то голова отказывает. Не уверен, что на клиенте это можно решить одним только маршрутом.
Вероятно, можно построить схему, идентичную той, что я слепил для двух роутеров
http://anr-daemon.livejournal.com/1655.html
У вас будет немного прямее, так как интерфес расположен прямо на машине.

Пытался вникнуть, читать, но видать до маршрутизации мне далеко пока...
А раз ума не хватает, то может Вы возьметесь за "шабашку"?
P.S. пытался написать личное сообщение - стоит блокировка у Вас.

[AnrDaemon]

У вас разница будет только в одном месте - вместо условия по MAC у вас будет условие по интерфейсам, с которых пришел пакет.

[Duff072]

Спасибо за помощь.
не было времени, и вот добрался.
Может поможет кому:

Проблема была решена следующим образом:
1. в конфиге опенвпн на сервере отмечаем: push "redirect-gateway def1 bypass-dhcp"
что при подключении клиента сообщает маршрут по умолчанию. Теперь интернет на клиенте через впн.
Мне всё-равно, через что будет обновляться система. а ответы на запросы из интернета будет верно слать.
Да и торрент-клиент планировался через впн.

2. на сервере с помощью iptables настраиваем трафик из интернета и в интернет :

Код: [Выделить]

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       all  --  anywhere             EXT_ip                 to:10.8.0.6

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.8.0.6             anywhere


P.S. для понятия и работы с iptables помогли:
1. учебник http://www.opennet.ru/docs/RUS/iptables/index.html
2. webmin http://www.webmin.com/ легче с условиями и ключами, которые подписаны.
3. AnrDaemon