LINUX.ORG.RU
ФорумAdmin

OpenVPN требуется проброс порта

 ,


0

1

user03.ovpn (vpn_ip: 172.17.0.3, роутер) лок. 192.168.10.0/24

На этой локалке (192.168.10.0/24) есть программа мониторинга, открыл порт 8081 для веб доступа

OpenVPN сервер на VPS (Ubuntu 20.04) (x.x.x.x)

Требуется открыть порт на ubuntu, типа x.x.x.x:8082 и при заходе из глобы на этот адрес через браузер шло перенаправление на 192.168.10.100:8081

Конфиг сервера:

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0

Конфиг user03.ovpn:

iroute 192.168.10.0 255.255.255.0 

Порт открыл:

iptables -A INPUT -p tcp --dport 8082 -j ACCEPT
iptables -A INPUT -p udp --dport 8082 -j ACCEPT

Сделал перенаправление:

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 8082 -d 192.168.10.100 -j SNAT --to-source 192.168.10.1:8081

Раскоментировал:

net.ipv4.ip_forward=1

Чёта не фурычит (( Пожалуйста подскажите что не так



Последнее исправление: ramneak (всего исправлений: 3)

Не написали DNAT правило. И порт нужно разрешать в FORWARD.

mky ★★★★★
()

Сделал перенаправление:

iptables -t nat -A POSTROUTING -o eth0 -p tcp –dport 8082 -d 192.168.10.100 -j SNAT –to-source 192.168.10.1:8081

давным давно, когда у меня не было еще поднят OpenVPN я так обычно ломился из дома на сервер офисный

/sbin/iptables -t nat -A PREROUTING -p tcp  -s $HOME -d $OFFICE --dport 3389 -j DNAT --to-destination $SI-NEW:3389
/sbin/iptables -A FORWARD -p tcp -d $SI-NEW --dport 3389 -j ACCEPT

переменные понятны? Home и Office внешние IP, si-new внутренний ip сервера к которому пробрасываю.

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

давным давно, когда у меня не было еще поднят OpenVPN я так обычно ломился из дома на сервер офисный

Во-во, давно, сейчас статический домашний IP даже за нормальные деньги заколебёшься получать :)

vodz ★★★★★
()
Ответ на: комментарий от vodz

Во-во, давно, сейчас статический домашний IP даже за нормальные деньги заколебёшься получать :)

Ну видимо смотря где живешь, дома всегда был и сейчас есть белый IP за смешные деньги. Pоутер был DIR-300, поменял на микротик - поднял OpenVPN надобность в пробросе отпала.

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim
iptables -t nat -A PREROUTING -p tcp  -d x.x.x.x --dport 8082 -j DNAT --to-destination 192.168.10.100:8081
iptables -A FORWARD -p tcp -d 192.168.10.100 --dport 8081 -j ACCEPT

Не канает, + $HOME не может быть статикой.

Так тоже не канет:

iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --dport 8082 -j DNAT --to-destination 192.168.10.100:8081
iptables -t nat -A POSTROUTING -d 192.168.10.100 -p tcp -m tcp --dport 8081 -j SNAT --to-source 192.168.10.1
iptables -t nat -A OUTPUT -d x.x.x.x -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.10.100
iptables -I FORWARD 1 -d 192.168.10.100 -p tcp -m tcp --dport 8081 -j ACCEPT

Где ошибка ?

ramneak
() автор топика
Ответ на: комментарий от vodz

Во-во, давно, сейчас статический домашний IP даже за нормальные деньги заколебёшься получать :)

Раз. https://www.starlink.ru/internet - 135 руб в мес.
Два. https://moskva.beeline.ru/customers/products/home/home-tariffs-old/service/fi... - 150 руб в мес.
Три. https://internet.rinet.ru/ - 150 руб в мес.
В части «заколебёшься» жмякнуть в ЛК на подкючение услуги.

anc ★★★★★
()
Ответ на: комментарий от ramneak

Не канает, + $HOME не может быть статикой.

HOME статика - мой конкретный случай

порты в POSTROUTING не надо указать (–to-source 192.168.10.1:8082) там NAT наверное

я правильно понимаю с 8082 бросается на 8081 значит и обратно надо указать, не?

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

Могу предположить, что зато у вас с юриков три шкуры дерут, а у нас нахаляву/почти-нахаляву :) Я про белую статику.

anc ★★★★★
()
Ответ на: комментарий от anc

Не знаю как у них, а у нас у юриков халява. Да и у физиков тоже, кроме пары провайдеров. У одного из них 1 рубль в день. Я тоже про белую статитку.

turtle_bazon ★★★★★
()
Ответ на: комментарий от anc

Могу предположить, что зато у вас с юриков три шкуры дерут, а у нас нахаляву/почти-нахаляву :) Я про белую статику.

В офисе платим 40 тыс сразу за год, нам включают максимальную скорость (85 Mps), на заводе тоже что то 4 тыс в месяц, но там помесячно и скорость (10Mps должна быть заводчанам хватало, но залез проверил тоже 85 админы лоханулись похоже)

Для юрика разве это 3 шкуры!?!?! Это вообще цена инета, сколько там статика стоит не знаю.

Чикагинск Челябинск, если что. ;)

alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 2)
Ответ на: комментарий от alex_sim

Я только про белую статику :) Три шкуры забыл в кавычки взять, подразумевал что она платная :)

anc ★★★★★
()
Ответ на: комментарий от anc

Я, если честно, плохо во времени ориентируюсь, но помню, что для юриков халява по белым адресам всегда была. Точнее даже не так - у юриков вообще не было серых нестатичных адресов.

turtle_bazon ★★★★★
()
Последнее исправление: turtle_bazon (всего исправлений: 1)
Ответ на: комментарий от turtle_bazon

Я про года не случайно написал, сталкивались с вариантами: «выделение адреса? дайте нцать денег». Причем именно за выделение.

anc ★★★★★
()
Ответ на: комментарий от anc

Я про года не случайно написал, сталкивались с вариантами: «выделение адреса? дайте нцать денег». Причем именно за выделение.

Скорее всего там было «дополнительного».

vodz ★★★★★
()
Ответ на: комментарий от vodz

Нет. Один из примеров как ша помню был в Владике.

anc ★★★★★
()
Ответ на: комментарий от ramneak

1. На будушее выкладывайте текстовый выхлоп сюда, а не скриншотами, отвечать на скриншот никакого удовольствия.
2. Я правильно догадался, это выхлоп с VPS ? Если да, то последнее правило SNAT ну совсем не по месту.

anc ★★★★★
()
Ответ на: комментарий от anc

Да, это VPS

root@vps:~# iptables-save
# Generated by iptables-save v1.8.4 on Thu Nov 18 17:36:48 2021
*filter
:INPUT ACCEPT [105:7104]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [96:15328]
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8082 -j ACCEPT
-A INPUT -p udp -m udp --dport 8082 -j ACCEPT
-A FORWARD -d 192.168.10.100/32 -p tcp -m tcp --dport 8081 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.17.0.0/24 -j ACCEPT
COMMIT
# Completed on Thu Nov 18 17:36:48 2021
# Generated by iptables-save v1.8.4 on Thu Nov 18 17:36:48 2021
*nat
:PREROUTING ACCEPT [17:995]
:INPUT ACCEPT [16:796]
:OUTPUT ACCEPT [6:456]
:POSTROUTING ACCEPT [8:560]
-A PREROUTING -d x.x.x.x/32 -p tcp -m tcp --dport 8082 -j DNAT --to-destination 192.168.10.100:8081
-A OUTPUT -d x.x.x.x/32 -p tcp -m tcp --dport 8081 -j DNAT --to-destination 192.168.10.100
-A POSTROUTING -s 172.17.0.0/24 ! -d 172.17.0.0/24 -j SNAT --to-source x.x.x.x
COMMIT
# Completed on Thu Nov 18 17:36:48 2021
root@vps:~#
ramneak
() автор топика
Ответ на: комментарий от anc

Не заработало!

Лог с роутера:

# Generated by iptables-save v1.4.16.3 on Thu Nov 18 11:35:09 2021
*nat
:PREROUTING ACCEPT [66969:10621976]
:INPUT ACCEPT [12147:783773]
:OUTPUT ACCEPT [815:249649]
:POSTROUTING ACCEPT [849:251417]
:upnp - [0:0]
:upnp-post - [0:0]
:vserver - [0:0]
-A PREROUTING -d 192.168.1.192/32 -j vserver
-A POSTROUTING -s 192.168.10.0/24 -o eth2.2 -j SNAT --to-source 192.168.1.192
-A POSTROUTING -s 192.168.10.0/24 -d 192.168.10.0/24 -o br0 -j SNAT --to-source 192.168.10.1
-A vserver -j upnp
COMMIT
# Completed on Thu Nov 18 11:35:09 2021
# Generated by iptables-save v1.4.16.3 on Thu Nov 18 11:35:09 2021
*filter
:INPUT ACCEPT [23958:2249033]
:FORWARD ACCEPT [77748:4435888]
:OUTPUT ACCEPT [106002:22751475]
:bfplimit - [0:0]
:upnp - [0:0]
:vpnlist - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Nov 18 11:35:09 2021
ramneak
() автор топика
Ответ на: комментарий от ramneak

Ну вот теперь в качестве факультатива, можете решить задачку по фэншую. Но предупреждаю, это будет не просто. :)

anc ★★★★★
()
Ответ на: комментарий от anc

Я понимаю, что за 10-15 лет много чего могло поменяться. Но вот сколько себя я помню, по месту моей деревни было так.

turtle_bazon ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.