Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: белый IP через openVPN. (Проброс с одного интерфеса на другой?) Как?  (Прочитано 2943 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Друзья, помогите!
Есть дома интернет Yota, c серым ip, и NAS на OMV (debian)
Есть VPS с двумя белыми IP. (ubuntu)
Хочется, чтоб до NAS ,был доступ из интернета, и у NAS был открытий порт для торрента.

Сейчас со стороны NAS поднят VPN (openVPN) к VPS к eth0

P.S. VPN на сервере в режиме моста не захотел стартовать, интерфейсы отвалились. проблема, как кажется, в виртуальном адаптере eth0:1. Чудом через поддержку вернули всё назад.

Как это проще организовать?

ifconfig:
(Нажмите, чтобы показать/скрыть)

route:
(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль 17 Мая 2013, 16:13:57:
ТАК будет работать?
sudo iptables –t nat –A PREROUTING -i eth0:1 –p tcp –dport 80 –j DNAT –to-destination 10.8.0.6:80
sudo iptables –t nat –A PREROUTING -i eth0:1 –p tcp –dport 8080 –j DNAT –to-destination 10.8.0.6:8080
sudo iptables –t nat –A PREROUTING -i eth0:1 –p tcp –dport 10000 –j DNAT –to-destination 10.8.0.6:10000
« Последнее редактирование: 17 Мая 2013, 16:13:58 от Duff072 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Цитировать
Не будет.
а как? в какую сторону копать?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
"-i eth0:1" работать не будет никогда. Читайте мануалы внимательнее.
Если хотите все пакеты с одного адреса завернуть на другой, вам скорее всего достаточно настроить маршрутизацию.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
"-i eth0:1" работать не будет никогда. Читайте мануалы внимательнее.
Если хотите все пакеты с одного адреса завернуть на другой, вам скорее всего достаточно настроить маршрутизацию.

Да, это и нужно, но как?
И сейчас понимаю, что выборочно будет безопаснее

По iptables
sudo iptables –t nat –A PREROUTING –p tcp -d ВНЕШНИЙ_IP2 -–dport 80 –j DNAT -–to-destination 10.8.0.6:80Будет работать? Вроде в соответствии с http://www.opennet.ru/docs/RUS/iptables/index.html#DNATTARGET:
« Последнее редактирование: 17 Мая 2013, 16:35:47 от Duff072 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
-t nat -A PREROUTING -d $ext_ip2 -j DNAT $int_ip
Раз уже решили все - так все и перенаправляйте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
-t nat -A PREROUTING -d $ext_ip2 -j DNAT $int_ip
Раз уже решили все - так все и перенаправляйте.

Спасибо большое за помощь, но не помогло.
Сам сервер отвечать перестал, но и запросы дальше не идут. буду курить мануал. :(
Не совсем разобрался с openvpn и адресами локальными. использовал внутренний IP 10.8.0.6

На сервере:
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1216 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1434 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:133783 (133.7 KB)  TX bytes:122146 (122.1 KB)

На клиенте:
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:4483 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4339 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:377837 (368.9 KiB)  TX bytes:398735 (389.3 KiB)

При этом пингуют друг друга на адреса 10.8.0.1 и 10.8.0.6. Что за адреса 10.8.0.2 и 10.8.0.5 непонятно

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
Берите в зубы tcpdump и смотрите, что у вас куда ходит.
Возможно, у вас клиент пытается ответные пакеты пересылать через другой шлюз.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Берите в зубы tcpdump и смотрите, что у вас куда ходит.
Возможно, у вас клиент пытается ответные пакеты пересылать через другой шлюз.

Да, Вы правы, спасибо за помощь, так оно и есть. VPN клиент не отвечает на запросы, но принимает их, точнее отвечает, но шлет в локальную сеть.
Сначала хотел шлюз поменять, а потом понял. что нельзя, т.к. ВПН поднят через него.
Подскажите, пожалуйста, куда копать. как это проще сделать на клиенте? или только через iptables (здесь готова идет кругом)?

Извиняюсь, но я не силен (совсем) в сетях и линуксах (только начал интересоваться), но стараюсь понять и изучить, по мере свободного времени.

Маршруты на клиенте:
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.8.0.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.8.0.1        10.8.0.5        255.255.255.255 UGH       0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth0

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
Что-то голова отказывает. Не уверен, что на клиенте это можно решить одним только маршрутом.
Вероятно, можно построить схему, идентичную той, что я слепил для двух роутеров
http://anr-daemon.livejournal.com/1655.html
У вас будет немного прямее, так как интерфес расположен прямо на машине.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Что-то голова отказывает. Не уверен, что на клиенте это можно решить одним только маршрутом.
Вероятно, можно построить схему, идентичную той, что я слепил для двух роутеров
http://anr-daemon.livejournal.com/1655.html
У вас будет немного прямее, так как интерфес расположен прямо на машине.

Пытался вникнуть, читать, но видать до маршрутизации мне далеко пока...
А раз ума не хватает, то может Вы возьметесь за "шабашку"?
P.S. пытался написать личное сообщение - стоит блокировка у Вас.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28365
    • Просмотр профиля
У вас разница будет только в одном месте - вместо условия по MAC у вас будет условие по интерфейсам, с которых пришел пакет.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Duff072

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Спасибо за помощь.
не было времени, и вот добрался.
Может поможет кому:

Проблема была решена следующим образом:
1. в конфиге опенвпн на сервере отмечаем: push "redirect-gateway def1 bypass-dhcp"
что при подключении клиента сообщает маршрут по умолчанию. Теперь интернет на клиенте через впн.
Мне всё-равно, через что будет обновляться система. а ответы на запросы из интернета будет верно слать.
Да и торрент-клиент планировался через впн.

2. на сервере с помощью iptables настраиваем трафик из интернета и в интернет :):
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       all  --  anywhere             EXT_ip                 to:10.8.0.6

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.8.0.6             anywhere


P.S. для понятия и работы с iptables помогли:
1. учебник http://www.opennet.ru/docs/RUS/iptables/index.html
2. webmin http://www.webmin.com/ легче с условиями и ключами, которые подписаны.
3. AnrDaemon  :)
 

 

Страница сгенерирована за 0.047 секунд. Запросов: 25.