Форум русскоязычного сообщества Ubuntu


Автор Тема: Настроить маршрутизацию с внутрисети на внешний eth0 с openVPN  (Прочитано 656 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
На шлюзе есть два сетевых интерфейса: один смотрит во вне eth0 на нём внешний ip, второй смотрит во внутреннюю сеть eth1. На внешнем интерфейсе поднят openvpn сервер, на ноутбуке настроен openvpn клиент. Ноутбук будет вынесен и подключаться к openvpn серверу будет из вне. Но пока он был включён во внутреннюю сеть решил проверить и подключится к openvpn серверу который висит на внешнем интерфейсе eth0. На ноутбуке шлюзом по умолчанию прописан ip шлюза eth1.

Получается, что на интерфейс шлюза eth1 приходит пакет адрес назначения которого это ip интерфейса eth0, а адрес отправителя ip внутренней сети который был прописан на ноутбуке. Если стать tcpdump на интерфейс eth1 то так оно и есть, я вижу этот пакет, но вот дальше на интерфейс eth0 он не доходит. Судя по картинке пакет должен попасть в цепочку FORWARD, на форварде проброс настроен, но скорее всего он попадает в цепочку INPUT интерфейса eth1 и далее не двигается, а уничтожается.

Прошу тех кто владеет досконально этими вопросами, объяснить почему пакет не доходит до интерфейса eth0 и можно ли осуществить такой проброс?

За объяснение и помощь заранее благодарен!
« Последнее редактирование: 23 Апрель 2018, 10:16:40 от Azure »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27346
    • Просмотр профиля
Re: маршрутизация
« Ответ #1 : 23 Апрель 2018, 02:08:46 »
На форуме запрещено создание тем с малоинформативными названиями.

На eth0 он и не придёт, ибо никогда на этом интерфейсе он не появлялся.
Курите модель OSI. Она, конечно, не идеальна, но даёт хорошее представление о вашей проблеме.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Я совсем упустил из виду, что можно подменить айпишники, я так и раньше делал для для сайта что бы он был виден из внутренней сети.

Для ясности нарисовал картинку

В моём случае можно было написать правило в цепочке PREROUTING и подменить внешний ip 5.5.5.5 на внутренний ip 10.10.10.10 и в Openvpn добавить что бы он слушал интерфейс 10.10.10.10 тогда бы всё работало, или просто добавить в openvpn прослушивание 10.10.10.10 и соединяться на него.

Но дело уже не в этом просто интересно узнать почему когда я соединяюсь на 7.7.7.7 то пакеты уходят через цепочку FORWARD, а когда (то же можно сказать на внешний интерфейс хоть и находящийся на этом компьютере) на 5.5.5.5 то в цепочку FORWARD они не уходят и пакета на интефейсе eth0 нет, хотя при этом на eth1 он есть.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27346
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Цитировать
Зачем?…

Хочу узнать из-за чего не попадает в цепочку FORWARD. Разобраться досконально, так как получается, что у меня нет понимания работы маршрутизации и сетевого фильтра. Может быть схема сетевого фильтра на самом деле немного другая и из-за этого работает всё немного не так. Вот я и хочу это выяснить.

Оффлайн botsman

  • Активист
  • *
  • Сообщений: 294
    • Просмотр профиля
Потому что пакет попадает в цепочку INPUT и далее в ядро...
Профи, поправьте если ошибаюсь...

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Цитировать
Потому что пакет попадает в цепочку INPUT и далее в ядро...

Да вот именно, попадает в INPUT как я понимаю интерфейса eth1 потом в ядро, ядро смотрит что ip не интерфейса eth1, а интерфейса eth0 и по идее (скорее всего я ошибаюсь) пробрасывает на интерфейс eth0 цепочки INPUT. Так вот пакет на интерфейсе eth1 есть,  а на интерфейсе eth0 нет. Смотрел tcpdump-пом.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27346
    • Просмотр профиля
попадает в INPUT как я понимаю интерфейса
Нет никаких интерфейсов, есть цепочка INPUT.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Получается никак не настроить, что бы он попал в интерфейс eth0, или всё таки как то можно настроить?

Оффлайн _rod_

  • Участник
  • *
  • Сообщений: 180
  • Kubuntu 18.04
    • Просмотр профиля
нет отдельно цепочек INPUT для интерфейсов eth0 и eth1, есть только одна INPUT для ядра маршрутизатора

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27346
    • Просмотр профиля
Получается никак не настроить, что бы он попал в интерфейс eth0, или всё таки как то можно настроить?
Вы задаёте вопрос, который не имеет никакого отношения к обсуждаемому предмету.
Ибо
нет отдельно цепочек INPUT для интерфейсов eth0 и eth1, есть только одна INPUT для ядра
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Если уйти от правил сетевого фильтра, вопрос заключается вот в чём.

На интерфейс eth1 приходит пакет с ip получателя 7.7.7.7, система видит, что это ip не интерфейса eth1 и смотрит в таблицу маршрутизации так как она понимает, что пакет предназначен не ей. Далее пакет направляется согласно таблице маршрутизации.

Теперь рассмотрим вариант когда на интерфейс eth1 приходит пакет с ip 5.5.5.5, система опять видит что, пакет предназначен не ей. И вот дальше не понятно, что система делает дальше????
 

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Теперь рассмотрим вариант когда на интерфейс eth1 приходит пакет с ip 5.5.5.5, система опять видит что, пакет предназначен не ей.
То что Вы так думаете, то это не значит, что ядро воспримет этот пакет именно так.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн v4567

  • Автор темы
  • Новичок
  • *
  • Сообщений: 31
    • Просмотр профиля
Цитировать
То что Вы так думаете, то это не значит, что ядро воспримет этот пакет именно так.

Я вот и хочу узнать как его воспринимает ядро.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
что, пакет предназначен не ей.
ошибочное заявление
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.181 секунд. Запросов: 24.