Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 14 maja 2021 19:53:14 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 maja 2021 19:49:44
Posty: 9
Czesc,

Nie wiem czy pisze w odpowiednim dziale, wiec ewentualnie prosze o przeniesienie.

Posiadam serwer VPS który ma przypisane dwa adresy IP. Mam na nim serwer VPN. Z drugiej strony mam sieć domowa z routerem z Openwrt. Z tego routera łączę się do VPS przez VPN ale nie przekierowuje całego ruchu przez tunel.

Teraz chciałbym na VPS i routerze z Openwrt dokonać rekonfiguracji tak aby cały ruch przychodzący na jeden z publicznych IP był przekierowany przez VPN do mojego serwera NAS i aby cały ruchu wychodzący z tego NAS szedł przez VPN i wychodził z dokładnie tym samym adresem IP. Innymi słowy mówiąc chciałbym osiągnąć efekt jakby NAS miał osobny publiczny adres IP.

Całej konfiguracji chciałbym dokonać na serwerze VPS i na routerze, czyli urządzeniach na których zestawiony jest tunnel, bez ingerencji w NAS i jego konfigurację, bez dodatkowego tunelu.

Słyszałem że jest to możliwe dzięki policy based routing. Czy moglibyście powiedzieć jak się do tego zabrać? Na razie próbowałem ustawić przekierowanie na VPS ale nie chce to działać:
Kod:
iptables -A FORWARD -i enp0s20 -o tun0 -d AAA.AAA.AAA.AAA -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A PREROUTING -i enp0s20 -d AAA.AAA.AAA.AAA -j DNAT --to-destination 192.168.1.10
iptables -t nat -A POSTROUTING -o tun0 -s 192.168.1.10 -j SNAT --to-source AAA.AAA.AAA.AAA

Ale jak robię tcpdump -i tun0 to nie widzę tam żadnego ruchu kiedy próbuje się połączyć do FTP czyli jakby nie przekazywał pakietów. Forwarding jest włączony w sysctl.

Co robię źle? tcpdump wykonuje na VPS.


Ostatnio zmieniony wt, 08 cze 2021 20:39:30 przez Radekm, łącznie zmieniany 1 raz.

Na górę
Post: pt, 21 maja 2021 6:43:02 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 maja 2021 19:49:44
Posty: 9
Czy jest ktoś w stanie mi pomóc?


Na górę
Post: pt, 21 maja 2021 19:58:51 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 704
Lokalizacja: Łódź
Na routerze ustawiasz aby dany IP wychodził tym tunelem i w jedną stronę masz z głowy.
Z kolei w drugą robisz regułę aby cały ruch z publika leciał do IP routera. A na routerze przekierowania. I w ten sposób masz drugą stronę z głowy

Wysłane z mojego M2003J15SC przy użyciu Tapatalka


Na górę
Post: pt, 21 maja 2021 21:59:03 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 maja 2021 19:49:44
Posty: 9
gavron pisze:
Na routerze ustawiasz aby dany IP wychodził tym tunelem i w jedną stronę masz z głowy.
Z kolei w drugą robisz regułę aby cały ruch z publika leciał do IP routera. A na routerze przekierowania. I w ten sposób masz drugą stronę z głowy

Wysłane z mojego M2003J15SC przy użyciu Tapatalka


Brzmi prosto. Zacząłem od drugiej strony i próbowałem różnych wariantów. Ostatnia znana konfiguracja w 1 poście. Niestety nie widzę ruchu na interfejsie tunelu w tcpdump na VPS. Sprawdziłem, że przekierowanie portów jest włączone w sysctl. Co jeszcze mogę robić źle?

W pierwszą stronę chyba również nie jest tak różowo, bo na VPS mam 2 publiczne IP. Skąd będzie wiedział który ma zanatować?


Na górę
Post: pt, 21 maja 2021 22:22:35 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 704
Lokalizacja: Łódź
U mnie działa to tak:
Mikrotik lokalizacja A serwer VPN (kilka publikow)
Do niego z kilku lokalizacji łączą się openwrt. Dodatkowo łączy się mój router (też MT) domowy właśnie celem przekierowania jednego kompa z zewnątrz.
Oprócz tego łącze się np ja.
Openwrt nie ma dostępu do niczego.
Ja mam dostęp do wszystkich openwrt oprócz tego mam wyjście na świat przez IP MT.
To którym adresem wychodze decyduje MT, ja mam tylko że moja brama jest MT.
Przekierowanie zrobione mam najpierw na pierwszym MT że jak wejdzie pakiet na dane IP to przekieruj w tunel do mojego routera. A na moim mam kolejne przekierowanie już konkretne. Oczywiście ten przekierowany komputer też musi cały ruch piszcząc tunelem czyli na moim domowym MT mam ustawioną bramę dlatego kompa jako koniec tunelu.



Wysłane z mojego M2003J15SC przy użyciu Tapatalka


Na górę
Post: ndz, 23 maja 2021 10:55:29 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 maja 2021 19:49:44
Posty: 9
I to jest mniej-więcej to co chciałbym osiągnąć, z tą różnicą, że po jednej stronie mam Linuksa, a po drugiej OpenWrt. I na razie utknąłem na konfiguracji VPS, ponieważ przekierowaniu ruchu do wewnątrz tunelu nie działa i nie wiem co robię źle.


Na górę
Post: pn, 24 maja 2021 5:19:52 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 704
Lokalizacja: Łódź
Wrzuć ogólna maskaradę bez podawania interfejsów. Wtedy poprostu będzie wszystko wszędzie.
Jak zadziała będziesz bawić się głębiej ;)

Wysłane z mojego M2003J15SC przy użyciu Tapatalka


Na górę
Post: śr, 02 cze 2021 9:48:20 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 maja 2021 19:49:44
Posty: 9
gavron pisze:
Wrzuć ogólna maskaradę bez podawania interfejsów. Wtedy poprostu będzie wszystko wszędzie.
Jak zadziała będziesz bawić się głębiej ;)

Wysłane z mojego M2003J15SC przy użyciu Tapatalka


Problem w tym, że to nie chce tak działać, albo przerzuca ruch z wszystkich IP, albo wogóle. A ja chciałbym tylko z tego jednego, wybranego.
Założe się, że coś robię źle, ale nie wiem co.


Na górę
Post: wt, 08 cze 2021 20:38:51 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 maja 2021 19:49:44
Posty: 9
Kod:
iptables -A FORWARD -i eth0 -o tun0 -d 192.168.1.100 -m conntrack --ctstate NEW -j ACCEPT
iptables -t nat -A PREROUTING -d A.B.C.D -j DNAT --to-destination 192.168.1.100


Dodałem powyższe reguły na serwerze i kiedy uruchomię na nim tcpdump to w momencie gdy łączę się z komputera na A.B.C.D widzę na interfejsie tun0 ruch skierowany do 192.168.1.100. Loguję się na router na którym jest klient OpenVPN i tam na interfejsie tun0 cisza. Co może być nie tak? Jak z serwera OpenVPN puszczam pinga do 192.168.1.100, to wszystko działa.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest pn, 14 cze 2021 9:55:30

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl