LINUX.ORG.RU

Проброс портов VPN сервера на подключенных клиентов

 ,


0

1

Вроде простой вопрос, но не могу понять, как сделать проброс данных с внешнего IP VPN сервера на нужных, подключенных клиентов.

Например, адрес сервера 185.150.100.200, к этому серверу подключились VPN клиенты 10.0.0.2 и 10.0.0.3

Как направить TCP пакеты приходящие на адрес сервера по порту 2000 на первого клиента и пакеты на TCP порту 3000 на второго?

И как задать статические IP для VPN клиентов, если протокол IKEv2, на базе strongswan?


как сделать проброс данных с внешнего IP VPN сервера на нужных, подключенных клиентов

С помощью iptables и sysctl.

адрес сервера 185.150.100.200 ... VPN клиенты 10.0.0.2 и 10.0.0.3

Как направить TCP пакеты приходящие на адрес сервера по порту 2000 на первого клиента и пакеты на TCP порту 3000 на второго?

На примере Debian (актуально для Ubuntu, а также для других систем-дистрибутивов, но с учетом различий систем-дистрибутитов могут потребоваться некоторые изменения в определенных командах):

1. Добавить в конец файла /etc/sysctl.conf следующую строку: net.ipv4.ip_forward=1.

2. Сохранить измененный файл /etc/sysctl.conf.

3. Выполнить следующую команду: sysctl -p /etc/sysctl.conf.

4. Выполнить следующую команду: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (eth0 заменить на другое имя основного сетевого интерфейса VDS-сервера, у которого нужный публичный внешний статический IP-адрес — только если у вас имя данного сетевого интерфейса отличается от eth0).

5. Выполнить следующую команду: iptables -t nat -A PREROUTING -m tcp -p tcp -d 185.150.100.200 --dport 2000 -j DNAT --to-destination 10.0.0.2.

6. Выполнить следующую команду: iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 2000 -j ACCEPT.

7. Выполнить следующую команду: iptables -t nat -A PREROUTING -m tcp -p tcp -d 185.150.100.200 --dport 3000 -j DNAT --to-destination 10.0.0.3.

8. Выполнить следующую команду: iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 2000 -j ACCEPT.

9. Выполнить следующую команду: apt install iptables-persistent.

10. Выполнить следующую команду: systemctl enable netfilter-persistent.service.

11. Выполнить следующую команду: /sbin/iptables-save > /etc/iptables/rules.v4.

И как задать статические IP для VPN клиентов, если протокол IKEv2, на базе strongswan?

Так же как и при использовании других протоколов — с помощью iptables и sysctl. Или с помощью конфигурационных файлов strongSwan — если речь не про публичные статические адреса, а про локальные.

andreboth ()
Последнее исправление: andreboth (всего исправлений: 9)