LINUX.ORG.RU
ФорумAdmin

Проброс порта через два nat

 ,


0

2

Добрый вечер.

Имею два nat ( роутер -> vipnet coordinator -> lan)

Роутер: 192.168.0.100 vipnet coordinator eth0: 192.168.0.188. vipnet coordinator eth1: 10.4.31.254 ( в lan).

На роутере пробросил порт 1022 внешний -> 1022 внутренний. На vipnet coordinator , добавил два правила (в нат и в форвард) на скринах.

Пытаюсь пробросить ssh до 10.4.31.2 т.е. 1022 внешний порт в 22 внутренний.

На скринах приложил созданные правила. Попрошу указать что делаю не так.

https://ibb.co/3c9zJ1G https://ibb.co/hmPhGMV

Ответ на: комментарий от anonymous

про ssh тонели слышал, на vip net coordinator вряд ли получится это сделать, он умеет только с другими координаторами и с клиентами делать тоннели. А я через 1022 в конечном счете собираюсь пустить openvpn.

andrey7690 ()
Ответ на: комментарий от andrey7690

в примере, пользователель с ником galqiwi делает ssh тонель:

1. В конфиге сервера надо поставить GatewayPorts yes, мне кмк это не нужно. 2. Я затрудняюсь собственно в правильности правила нат которое я написал и как мне кажется это и есть причина проблемы.

andrey7690 ()

До 10.4.31.2 трафик вообще доходит - посмотри в tcpdump? Если доходит, но нет ответа - косяк с маршрутизацией/файрволом на 10.4.31.2. Если не доходит - пинай координатор или первый роутер(если есть возможность посмотреть на нём уходит ли проброшенный трафик - посмотри тоже).

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

на координаторе ограниченный набор команд, но в локальной сети я могу с любой машины подключиться к 10.4.31.2, с координатора полагаю тоже. Дома я могу подключиться к координатору по ssh и зайти в web, т.е. порты на роутере проброшены, так же, по аналогии проброшен порт 1022 до внешнего ip координатора 192.168.0.188.

Конечная цель развернуть на 10.4.31.2 openvpn и подключить трех клиентов.

Про rinetd сейчас буду читать

andrey7690 ()
Ответ на: комментарий от andrey7690

Я в курсе, что на координаторе ограниченный набор команд. Про выхлоп с него я и не спрашивал(хотя в веб-интерфейсе и есть диагностика по прошедшим/отброшенным пакетам, но всё же она проигрывает консольному tcpdump-у, хотя наверняка построена на том же libpcap). Просто нужно понять где именно проблема. Если роутер ты из этого исключаешь, тогда остаётся либо координатор, либо сам сервер где крутится SSH. Например на нём может быть не указан или неправильно указан шлюз по умолчанию - который для работающего проброса должен вести на координатор, если ты там не делаешь SNAT дополнительно к пробросу портов(не уверен что это вообще возможно на координаторе, слишком мало с ним работал еще)

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

На сервере (10.4.31.2) крутиться dhcp, gateway там прописан руками, правда после перезагрузки слетает запись dns (10.4.31.254, eth1 координатора) в файле resolv.conf ( что не мешает подключаться по ssh).

Поэтому я грешу на координатор.

andrey7690 ()
Ответ на: комментарий от andrey7690

А как войти на удалённый сервер по ключам?

Вот здесь shodan.io/host/85.165.237.68 есть ssh-rsa и fingerprint, по которому, насколько я понимаю, можно определить public key. Как с помощью этих данных авторизоваться без пароля? Прошу прощения, но в инете на тему ssh только руководства для сисадминов по настройке своих серваков и ничего про вход на чужой ресурс.

anonymous ()