LINUX.ORG.RU
ФорумAdmin

iptables и несколько подключений openvpn


0

1

Здравствуйте, вот назрела проблема, пробрасываю порт openvpn с помощью iptables на сервер находящийся внутри сети, но удаленно удается подключится только одному клиенту, чяднт?

/sbin/iptables -t nat -A PREROUTING -d $EXTIP -p tcp --dport 3333 -j DNAT --to $OVPIP:3333
/sbin/iptables -t nat -A POSTROUTING -d $OVPIP -p tcp --dport 3333 -j SNAT --to $INTIP:3333

форвардинга нет, роль firewall выполняет dsl модем.


Странно у тебя все. Не понятно. Какие политики по умолчанию, где что прописываешь...

iptables -t nat -A PREROUTING --dst $EXTIP -p tcp --dport 3333 -j DNAT --to-destination $OVPIP
iptables -A FORWARD -i $EXT_IFACE -p tcp -m tcp --dst $OVPIP --dport 3333 -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXT_IFACE -s $OVPIP -j SNAT --to-source $EXTIP
uspen ★★★★★ ()
Ответ на: комментарий от uspen

А мне у вас непонятно) Я просто пробрасываю входящие\исходящие подключения

BartMan ()
Ответ на: комментарий от Narian

OpenVPN тут не причем, сервер с openvpn имеет свой основной канал интернет, через который все работает.

BartMan ()
Ответ на: комментарий от no-dashi

SNAT, скорее всего сделан так как:

сервер с openvpn имеет свой основной канал интернет

то есть у сервера с openvpn наверное есть default маршрут не через тот сервер, где DNAT. А policy based routing на openvpn сервере ТС не стал.

mky ★★★★★ ()

пользуясь случаем, хотелось бы спросить: как настроить iptables ? ну при запуске пишет что не настроен, а это же все-таки как файрволл, может есть какие-то стандартные настроечки?

zibert ★★★ ()
/sbin/iptables -t nat -A PREROUTING -d $EXTIP -p tcp --dport 3333 -j DNAT --to $OVPIP:3333
/sbin/iptables -t nat -A POSTROUTING -d $OVPIP -p tcp --dport 3333 -j SNAT --to $INTIP:3333

Это где прописывается? Схему нарисуй и дай вывод iptables-save и ip ro.

anton_jugatsu ★★★★ ()
Ответ на: комментарий от anton_jugatsu

Схема такая, стоит OpenVPN сервер с подключенным к нему основным каналом, рядом стоит шлюз с резервным каналом, необходимо что бы с обоих каналов можно было подключаться к openvpn серверу, проблема в том что с резервного канала больше чем одного клиента не пускает.

BartMan ()
Ответ на: комментарий от BartMan

На шлюзе с резервным каналом

iptables-save
ip ro
ip -4 a

На openvpn-сервере

iptables-save
ip ro
ip -4 a
egrep -v '^#|^$'/etc/openvpn/server.conf

При чём здесь dsl-модем?

anton_jugatsu ★★★★ ()
Ответ на: комментарий от BartMan

Вобще, у вас не работает из-за:

-j SNAT --to $INTIP:3333

так как всего одно соединение может быть с $INTIP:3333 на $OVPIP:3333.

Я не помню, можно ли сделать так, чтобы клиент подключался к openvpn серверу с произвольного порта, вроде можно было, тогда не нужно будет задавать порт в SNAT-правиле.

Либо вобще убирать SNAT и на openvpn сервере делать так, чтобы он на пакеты, пришедшие с резервного шлюза отвечал на него же. Прочитайте про police based routing (ip rule/ip route add ... table).

ИМХО, проще всего дать openvpn серверу ещё один ip-адрес (или дополнительный порт), чтобы все исходящие с этого адреса (порта) пакеты шли в отдельную таблицу машрутизации и шли на резервный шлюз. Но, наверное, можно извратиться с iptables (connmark и mac-адрес).

mky ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.