LINUX.ORG.RU

5
Всего сообщений: 83

Доступ к сервису за провайдерским NAT

Имеется контроллер с запущенным web-сервером для мониторинга и управления. У контроллера имеется Ethernet интерфейс и статический IP. Необходимо обеспечить доступ в web-серверу из интернета.

Контроллер подключается к интернету через роутер TP-Link MR3020 с OpenWRT + 4G модем Huawei. Других возможностей для выхода в интернет нет.

Сейчас реализована следующая схема:

  1. Имеется VPS с публичным IPv4 и запущенным SSH-сервером;
  2. Создан пользователь tunnel без доступа к шеллу и авторизацией по ключам, «GatewayPorts yes» в sshd_config;
  3. При подаче питания, роутер (MR3020) подключается в сети используя 4G-модем;
  4. После установления соединения, роутер поднимает SSH-туннель для маршрутизации трафика между VPS и контроллером;
  5. На VPS запущен nginx в режиме reverse proxy для обеспечения доступа через HTTPS и авторизации.

В целом, все работает стабильно, но непонятно как такая система будет вести себя при масштабировании. Планируется, что будет порядка 5000 устройств, требующих доступа.

Также, я думал организовать это при помощи Wireguard, но хочется сохранить простоту настройки и конфигов.

Помимо этого, хотелось бы каким-либо образом иметь возможность опозновать подключенные устройства (по MAC?), чтобы небыло необходимости вручную прописывать конфиги в nginx.

Может кто-то уже сталкивался с подобной проблемой и имеет элегантное решение?

 , ,

iizek ()

Не работает GRE туннель

Здравствуйте. Есть задача поднять GRE туннель между двумя машинами, для того, чтобы перебрасывать пакеты с первого сервера на второй, пряча тем самым белый ip второго сервера. После настройки туннеля на обоих серверах пинг не пошел.

  • Первый сервер это Amazon EC2 instance. OS - Debian
  • Второй сервер это арендованный сервер, но не Amazon. Операционная система на нем та же Debian.

На первом сервере в /etc/network/interfaces следущее:

auto tun0
iface tun0 inet static
    address 192.168.10.1
    netmask 255.255.255.0
    broadcast 192.168.10.255
    up ifconfig tun0 multicast
    pre-up modprobe ip_gre
    pre-up iptunnel add tun0 mode gre local $server1ip remote $server2ip ttl 225 dev ens5
    pointopoint 192.168.10.2
    post-down iptunnel del tun0

На втором сервере в /etc/network/interfaces

auto tun0
iface tun0 inet static
    address 192.168.10.2
    netmask 255.255.255.0
    broadcast 192.168.10.255
    up ifconfig tun0 multicast
    pre-up modprobe ip_gre
    pre-up iptunnel add tun0 mode gre local $server2ip remote $server1ip ttl 225 dev enp1s0
    pointopoint 192.168.10.1
    post-down iptunnel del tun0

ifconfig на первом сервере для tun0:

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 8977
        inet 192.168.10.1  netmask 255.255.255.255  destination 192.168.10.2
        inet6 fe80::200:5efe:d33:aff5  prefixlen 64  scopeid 0x20<link>
        unspec 0D-33-AF-F5-30-30-30-3A-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 11  dropped 0 overruns 0  carrier 11  collisions 0

ifconfig на втором сервере для tun0:

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1476
        inet 192.168.10.2  netmask 255.255.255.255  destination 192.168.10.1
        inet6 fe80::200:5efe:b989:e919  prefixlen 64  scopeid 0x20<link>
        unspec B9-89-E9-19-30-30-30-3A-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 18  bytes 1260 (1.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Если делать пинг, то он просто не идет. Запрета на пинг на обоих серверах нету. Собственно в этом и состоит проблема. Прошу помощи в этом вопросе.

 , , ,

vlad_churilo ()

GRE lt40<>lt40 yota

Здравствуйте.

Который день бьюсь с задачей, ни как не получается настроить правильную работу туннеля GRE. Перекопал весь интернет, но правильно сформулировать вопрос не могу, т.к. не знаю в чем точно затык. Делал тупо по инструкции от производителя. Туннель формируется, но пинг не проходит (на интерфейсе wan приходит пакет, но ответ от него unreachable)

Первое устройство:

iptables-save

# Generated by iptables-save v1.6.2 on Thu Jul  1 14:06:33 2021
*raw
:PREROUTING ACCEPT [3552:595142]
:OUTPUT ACCEPT [1727:213867]
:zone_lan_helper - [0:0]
-A PREROUTING -i br-lan -m comment --comment "!fw3: lan CT helper assignment" -j zone_lan_helper
COMMIT
# Completed on Thu Jul  1 14:06:33 2021
# Generated by iptables-save v1.6.2 on Thu Jul  1 14:06:33 2021
*nat
:PREROUTING ACCEPT [2240:511378]
:INPUT ACCEPT [54:3572]
:OUTPUT ACCEPT [200:9052]
:POSTROUTING ACCEPT [0:0]
:postrouting_VPN_rule - [0:0]
:postrouting_lan_rule - [0:0]
:postrouting_rule - [0:0]
:postrouting_wan_rule - [0:0]
:prerouting_VPN_rule - [0:0]
:prerouting_lan_rule - [0:0]
:prerouting_rule - [0:0]
:prerouting_wan_rule - [0:0]
:zone_VPN_postrouting - [0:0]
:zone_VPN_prerouting - [0:0]
:zone_lan_postrouting - [0:0]
:zone_lan_prerouting - [0:0]
:zone_wan_postrouting - [0:0]
:zone_wan_prerouting - [0:0]
-A PREROUTING -m comment --comment "!fw3: Custom prerouting rule chain" -j prerouting_rule
-A PREROUTING -i br-lan -m comment --comment "!fw3" -j zone_lan_prerouting
-A PREROUTING -i rmnet_data0 -m comment --comment "!fw3" -j zone_wan_prerouting
-A PREROUTING -i gre_GRE1 -m comment --comment "!fw3" -j zone_VPN_prerouting
-A POSTROUTING -m comment --comment "!fw3: Custom postrouting rule chain" -j postrouting_rule
-A POSTROUTING -o br-lan -m comment --comment "!fw3" -j zone_lan_postrouting
-A POSTROUTING -o rmnet_data0 -m comment --comment "!fw3" -j zone_wan_postrouting
-A POSTROUTING -o gre_GRE1 -m comment --comment "!fw3" -j zone_VPN_postrouting
-A zone_VPN_postrouting -m comment --comment "!fw3: Custom VPN postrouting rule chain" -j postrouting_VPN_rule
-A zone_VPN_postrouting -m comment --comment "!fw3" -j MASQUERADE
-A zone_VPN_prerouting -m comment --comment "!fw3: Custom VPN prerouting rule chain" -j prerouting_VPN_rule
-A zone_lan_postrouting -m comment --comment "!fw3: Custom lan postrouting rule chain" -j postrouting_lan_rule
-A zone_lan_prerouting -m comment --comment "!fw3: Custom lan prerouting rule chain" -j prerouting_lan_rule
-A zone_wan_postrouting -m comment --comment "!fw3: Custom wan postrouting rule chain" -j postrouting_wan_rule
-A zone_wan_postrouting -m comment --comment "!fw3" -j MASQUERADE
-A zone_wan_prerouting -m comment --comment "!fw3: Custom wan prerouting rule chain" -j prerouting_wan_rule
COMMIT
# Completed on Thu Jul  1 14:06:33 2021
# Generated by iptables-save v1.6.2 on Thu Jul  1 14:06:33 2021
*mangle
:PREROUTING ACCEPT [3734:611091]
:INPUT ACCEPT [2180:118815]
:FORWARD ACCEPT [204:25626]
:OUTPUT ACCEPT [1900:236839]
:POSTROUTING ACCEPT [2089:261865]
COMMIT
# Completed on Thu Jul  1 14:06:33 2021
# Generated by iptables-save v1.6.2 on Thu Jul  1 14:06:33 2021
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forwarding_VPN_rule - [0:0]
:forwarding_lan_rule - [0:0]
:forwarding_rule - [0:0]
:forwarding_wan_rule - [0:0]
:input_VPN_rule - [0:0]
:input_lan_rule - [0:0]
:input_rule - [0:0]
:input_wan_rule - [0:0]
:output_VPN_rule - [0:0]
:output_lan_rule - [0:0]
:output_rule - [0:0]
:output_wan_rule - [0:0]
:reject - [0:0]
:syn_flood - [0:0]
:zone_VPN_dest_ACCEPT - [0:0]
:zone_VPN_forward - [0:0]
:zone_VPN_input - [0:0]
:zone_VPN_output - [0:0]
:zone_VPN_src_ACCEPT - [0:0]
:zone_lan_dest_ACCEPT - [0:0]
:zone_lan_forward - [0:0]
:zone_lan_input - [0:0]
:zone_lan_output - [0:0]
:zone_lan_src_ACCEPT - [0:0]
:zone_wan_dest_ACCEPT - [0:0]
:zone_wan_dest_REJECT - [0:0]
:zone_wan_forward - [0:0]
:zone_wan_input - [0:0]
:zone_wan_output - [0:0]
:zone_wan_src_REJECT - [0:0]
-A INPUT -i lo -m comment --comment "!fw3" -j ACCEPT
-A INPUT -m comment --comment "!fw3: Custom input rule chain" -j input_rule
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m comment --comment "!fw3" -j syn_flood
-A INPUT -i br-lan -m comment --comment "!fw3" -j zone_lan_input
-A INPUT -i rmnet_data0 -m comment --comment "!fw3" -j zone_wan_input
-A INPUT -i gre_GRE1 -m comment --comment "!fw3" -j zone_VPN_input
-A FORWARD -m comment --comment "!fw3: Custom forwarding rule chain" -j forwarding_rule
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT
-A FORWARD -i br-lan -m comment --comment "!fw3" -j zone_lan_forward
-A FORWARD -i rmnet_data0 -m comment --comment "!fw3" -j zone_wan_forward
-A FORWARD -i gre_GRE1 -m comment --comment "!fw3" -j zone_VPN_forward
-A FORWARD -m comment --comment "!fw3" -j reject
-A OUTPUT -o lo -m comment --comment "!fw3" -j ACCEPT
-A OUTPUT -m comment --comment "!fw3: Custom output rule chain" -j output_rule
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment "!fw3" -j ACCEPT
-A OUTPUT -o br-lan -m comment --comment "!fw3" -j zone_lan_output
-A OUTPUT -o rmnet_data0 -m comment --comment "!fw3" -j zone_wan_output
-A OUTPUT -o gre_GRE1 -m comment --comment "!fw3" -j zone_VPN_output
-A reject -p tcp -m comment --comment "!fw3" -j REJECT --reject-with tcp-reset
-A reject -m comment --comment "!fw3" -j REJECT --reject-with icmp-port-unreachable
-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -m comment --comment "!fw3" -j RETURN
-A syn_flood -m comment --comment "!fw3" -j DROP
-A zone_VPN_dest_ACCEPT -o gre_GRE1 -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP
-A zone_VPN_dest_ACCEPT -o gre_GRE1 -m comment --comment "!fw3" -j ACCEPT
-A zone_VPN_forward -m comment --comment "!fw3: Custom VPN forwarding rule chain" -j forwarding_VPN_rule
-A zone_VPN_forward -m comment --comment "!fw3: Zone VPN to lan forwarding policy" -j zone_lan_dest_ACCEPT
-A zone_VPN_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_VPN_forward -m comment --comment "!fw3" -j zone_VPN_dest_ACCEPT
-A zone_VPN_input -m comment --comment "!fw3: Custom VPN input rule chain" -j input_VPN_rule
-A zone_VPN_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT
-A zone_VPN_input -m comment --comment "!fw3" -j zone_VPN_src_ACCEPT
-A zone_VPN_output -m comment --comment "!fw3: Custom VPN output rule chain" -j output_VPN_rule
-A zone_VPN_output -m comment --comment "!fw3" -j zone_VPN_dest_ACCEPT
-A zone_VPN_src_ACCEPT -i gre_GRE1 -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT
-A zone_lan_dest_ACCEPT -o br-lan -m comment --comment "!fw3" -j ACCEPT
-A zone_lan_forward -m comment --comment "!fw3: Custom lan forwarding rule chain" -j forwarding_lan_rule
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to wan forwarding policy" -j zone_wan_dest_ACCEPT
-A zone_lan_forward -m comment --comment "!fw3: Zone lan to VPN forwarding policy" -j zone_VPN_dest_ACCEPT
-A zone_lan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_lan_forward -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT
-A zone_lan_input -m comment --comment "!fw3: Custom lan input rule chain" -j input_lan_rule
-A zone_lan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT
-A zone_lan_input -m comment --comment "!fw3" -j zone_lan_src_ACCEPT
-A zone_lan_output -m comment --comment "!fw3: Custom lan output rule chain" -j output_lan_rule
-A zone_lan_output -m comment --comment "!fw3" -j zone_lan_dest_ACCEPT
-A zone_lan_src_ACCEPT -i br-lan -m conntrack --ctstate NEW,UNTRACKED -m comment --comment "!fw3" -j ACCEPT
-A zone_wan_dest_ACCEPT -o rmnet_data0 -m conntrack --ctstate INVALID -m comment --comment "!fw3: Prevent NAT leakage" -j DROP
-A zone_wan_dest_ACCEPT -o rmnet_data0 -m comment --comment "!fw3" -j ACCEPT
-A zone_wan_dest_REJECT -o rmnet_data0 -m comment --comment "!fw3" -j reject
-A zone_wan_forward -m comment --comment "!fw3: Custom wan forwarding rule chain" -j forwarding_wan_rule
-A zone_wan_forward -p esp -m comment --comment "!fw3: Allow-IPSec-ESP" -j zone_lan_dest_ACCEPT
-A zone_wan_forward -p udp -m udp --dport 500 -m comment --comment "!fw3: Allow-ISAKMP" -j zone_lan_dest_ACCEPT
-A zone_wan_forward -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port forwards" -j ACCEPT
-A zone_wan_forward -m comment --comment "!fw3" -j zone_wan_dest_REJECT
-A zone_wan_input -m comment --comment "!fw3: Custom wan input rule chain" -j input_wan_rule
-A zone_wan_input -p udp -m udp --dport 68 -m comment --comment "!fw3: Allow-DHCP-Renew" -j ACCEPT
-A zone_wan_input -p icmp -m icmp --icmp-type 8 -m comment --comment "!fw3: Allow-Ping" -j ACCEPT
-A zone_wan_input -p igmp -m comment --comment "!fw3: Allow-IGMP" -j ACCEPT
-A zone_wan_input -m conntrack --ctstate DNAT -m comment --comment "!fw3: Accept port redirections" -j ACCEPT
-A zone_wan_input -m comment --comment "!fw3" -j zone_wan_src_REJECT
-A zone_wan_output -m comment --comment "!fw3: Custom wan output rule chain" -j output_wan_rule
-A zone_wan_output -m comment --comment "!fw3" -j zone_wan_dest_ACCEPT
-A zone_wan_src_REJECT -i rmnet_data0 -m comment --comment "!fw3" -j reject
COMMIT

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN
    link/ipip 0.0.0.0 brd 0.0.0.0
3: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN
    link/gre 0.0.0.0 brd 0.0.0.0
4: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
5: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN
    link/sit 0.0.0.0 brd 0.0.0.0
6: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br-lan state UP qlen 1000
    link/ether be:45:43:80:65:4e brd ff:ff:ff:ff:ff:ff
7: rmnet0: <UP,LOWER_UP> mtu 2000 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/[530]
8: rmnet_data0: <UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/[530]
    inet 109.188.67.***/30 scope global rmnet_data0
       valid_lft forever preferred_lft forever
    inet6 fe80::6894:4acb:4f36:****/64 scope link
       valid_lft forever preferred_lft forever
9: rmnet_data1: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
10: rmnet_data2: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
11: rmnet_data3: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
12: rmnet_data4: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
13: rmnet_data5: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
14: rmnet_data6: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
15: rmnet_data7: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
16: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether be:45:43:80:65:4e brd ff:ff:ff:ff:ff:ff
    inet 192.168.88.1/24 brd 192.168.88.255 scope global br-lan
       valid_lft forever preferred_lft forever
    inet6 fd32:9407:9f4c::1/60 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::bc45:43ff:fe80:654e/64 scope link
       valid_lft forever preferred_lft forever
19: gre_GRE1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN
    link/gre 109.188.67.*** peer 109.188.84.***
    inet 10.81.105.5/24 scope global gre_GRE1
       valid_lft forever preferred_lft forever
    inet6 fe80::200:5efe:6dbc:****/64 scope link
       valid_lft forever preferred_lft forever

ip route

default via 109.188.67.*** dev rmnet_data0  proto static  src 109.188.67.***
10.81.105.0/24 dev gre_GRE1  proto kernel  scope link  src 10.81.105.5
109.188.67.***/30 dev rmnet_data0  proto kernel  scope link  src 109.188.67.***
192.168.88.0/24 dev br-lan  proto kernel  scope link  src 192.168.88.1
192.168.90.0/24 dev gre_GRE1  scope link

iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
zone_VPN_input  all  --  anywhere             anywhere             /* !fw3 */

Chain FORWARD (policy DROP)
target     prot opt source               destination
forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_VPN_forward  all  --  anywhere             anywhere             /* !fw3 */
reject     all  --  anywhere             anywhere             /* !fw3 */

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
output_rule  all  --  anywhere             anywhere             /* !fw3: Custom output rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
zone_lan_output  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_output  all  --  anywhere             anywhere             /* !fw3 */
zone_VPN_output  all  --  anywhere             anywhere             /* !fw3 */

Chain forwarding_VPN_rule (1 references)
target     prot opt source               destination

Chain forwarding_lan_rule (1 references)
target     prot opt source               destination

Chain forwarding_rule (1 references)
target     prot opt source               destination

Chain forwarding_wan_rule (1 references)
target     prot opt source               destination

Chain input_VPN_rule (1 references)
target     prot opt source               destination

Chain input_lan_rule (1 references)
target     prot opt source               destination

Chain input_rule (1 references)
target     prot opt source               destination

Chain input_wan_rule (1 references)
target     prot opt source               destination

Chain output_VPN_rule (1 references)
target     prot opt source               destination

Chain output_lan_rule (1 references)
target     prot opt source               destination

Chain output_rule (1 references)
target     prot opt source               destination

Chain output_wan_rule (1 references)
target     prot opt source               destination

Chain reject (3 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere             /* !fw3 */ reject-with tcp-reset
REJECT     all  --  anywhere             anywhere             /* !fw3 */ reject-with icmp-port-unreachable

Chain syn_flood (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50 /* !fw3 */
DROP       all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_dest_ACCEPT (3 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3: Prevent NAT leakage */
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_forward (1 references)
target     prot opt source               destination
forwarding_VPN_rule  all  --  anywhere             anywhere             /* !fw3: Custom VPN forwarding rule chain */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone VPN to lan forwarding policy */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_VPN_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_input (1 references)
target     prot opt source               destination
input_VPN_rule  all  --  anywhere             anywhere             /* !fw3: Custom VPN input rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
zone_VPN_src_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_output (1 references)
target     prot opt source               destination
output_VPN_rule  all  --  anywhere             anywhere             /* !fw3: Custom VPN output rule chain */
zone_VPN_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_src_ACCEPT (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,UNTRACKED /* !fw3 */

Chain zone_lan_dest_ACCEPT (5 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_forward (1 references)
target     prot opt source               destination
forwarding_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan forwarding rule chain */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone lan to wan forwarding policy */
zone_VPN_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone lan to VPN forwarding policy */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_input (1 references)
target     prot opt source               destination
input_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan input rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
zone_lan_src_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_output (1 references)
target     prot opt source               destination
output_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan output rule chain */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_src_ACCEPT (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,UNTRACKED /* !fw3 */

Chain zone_wan_dest_ACCEPT (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3: Prevent NAT leakage */
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_dest_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_forward (1 references)
target     prot opt source               destination
forwarding_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan forwarding rule chain */
zone_lan_dest_ACCEPT  esp  --  anywhere             anywhere             /* !fw3: Allow-IPSec-ESP */
zone_lan_dest_ACCEPT  udp  --  anywhere             anywhere             udp dpt:isakmp /* !fw3: Allow-ISAKMP */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_wan_dest_REJECT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_input (1 references)
target     prot opt source               destination
input_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan input rule chain */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc /* !fw3: Allow-DHCP-Renew */
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request /* !fw3: Allow-Ping */
ACCEPT     igmp --  anywhere             anywhere             /* !fw3: Allow-IGMP */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
zone_wan_src_REJECT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_output (1 references)
target     prot opt source               destination
output_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan output rule chain */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_src_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere             /* !fw3 */

Второе устройство:

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN
    link/ipip 0.0.0.0 brd 0.0.0.0
3: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN
    link/gre 0.0.0.0 brd 0.0.0.0
4: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
5: sit0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN
    link/sit 0.0.0.0 brd 0.0.0.0
6: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br-lan state UP qlen 1000
    link/ether 02:47:df:a6:b2:da brd ff:ff:ff:ff:ff:ff
7: rmnet0: <UP,LOWER_UP> mtu 2000 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/[530]
8: rmnet_data0: <UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/[530]
    inet 109.188.84.***/30 scope global rmnet_data0
       valid_lft forever preferred_lft forever
    inet6 fe80::a51f:d5b9:65f6:****/64 scope link
       valid_lft forever preferred_lft forever
9: rmnet_data1: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
10: rmnet_data2: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
11: rmnet_data3: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
12: rmnet_data4: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
13: rmnet_data5: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
14: rmnet_data6: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
15: rmnet_data7: <> mtu 1500 qdisc noop state DOWN qlen 1000
    link/[530]
16: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 02:47:df:a6:b2:da brd ff:ff:ff:ff:ff:ff
    inet 192.168.90.1/24 brd 192.168.90.255 scope global br-lan
       valid_lft forever preferred_lft forever
    inet6 fd44:59d4:5862::1/60 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::47:dfff:fea6:b2da/64 scope link
       valid_lft forever preferred_lft forever
19: gre_GRE1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN
    link/gre 109.188.84.*** peer 109.188.67.***
    inet 10.81.105.6/24 scope global gre_GRE1
       valid_lft forever preferred_lft forever
    inet6 fe80::200:5efe:6dbc:****/64 scope link
       valid_lft forever preferred_lft forever

ip route

default via 109.188.84.*** dev rmnet_data0  proto static  src 109.188.84.***
10.81.105.0/24 dev gre_GRE1  proto kernel  scope link  src 10.81.105.6
109.188.84.***/30 dev rmnet_data0  proto kernel  scope link  src 109.188.84.***
192.168.88.0/24 dev gre_GRE1  scope link
192.168.90.0/24 dev br-lan  proto kernel  scope link  src 192.168.90.1

iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
input_rule  all  --  anywhere             anywhere             /* !fw3: Custom input rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
syn_flood  tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN /* !fw3 */
zone_lan_input  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_input  all  --  anywhere             anywhere             /* !fw3 */
zone_VPN_input  all  --  anywhere             anywhere             /* !fw3 */

Chain FORWARD (policy DROP)
target     prot opt source               destination
forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_VPN_forward  all  --  anywhere             anywhere             /* !fw3 */
reject     all  --  anywhere             anywhere             /* !fw3 */

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
DROP       udp  --  anywhere             anywhere             udp dpt:1900 /* Drop SSDP on WWAN */
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */
output_rule  all  --  anywhere             anywhere             /* !fw3: Custom output rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
zone_lan_output  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_output  all  --  anywhere             anywhere             /* !fw3 */
zone_VPN_output  all  --  anywhere             anywhere             /* !fw3 */

Chain forwarding_VPN_rule (1 references)
target     prot opt source               destination

Chain forwarding_lan_rule (1 references)
target     prot opt source               destination

Chain forwarding_rule (1 references)
target     prot opt source               destination

Chain forwarding_wan_rule (1 references)
target     prot opt source               destination

Chain input_VPN_rule (1 references)
target     prot opt source               destination

Chain input_lan_rule (1 references)
target     prot opt source               destination

Chain input_rule (1 references)
target     prot opt source               destination

Chain input_wan_rule (1 references)
target     prot opt source               destination

Chain output_VPN_rule (1 references)
target     prot opt source               destination

Chain output_lan_rule (1 references)
target     prot opt source               destination

Chain output_rule (1 references)
target     prot opt source               destination

Chain output_wan_rule (1 references)
target     prot opt source               destination

Chain reject (3 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere             /* !fw3 */ reject-with tcp-reset
REJECT     all  --  anywhere             anywhere             /* !fw3 */ reject-with icmp-port-unreachable

Chain syn_flood (1 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50 /* !fw3 */
DROP       all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_dest_ACCEPT (3 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3: Prevent NAT leakage */
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_forward (1 references)
target     prot opt source               destination
forwarding_VPN_rule  all  --  anywhere             anywhere             /* !fw3: Custom VPN forwarding rule chain */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone VPN to lan forwarding policy */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_VPN_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_input (1 references)
target     prot opt source               destination
input_VPN_rule  all  --  anywhere             anywhere             /* !fw3: Custom VPN input rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
zone_VPN_src_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_output (1 references)
target     prot opt source               destination
output_VPN_rule  all  --  anywhere             anywhere             /* !fw3: Custom VPN output rule chain */
zone_VPN_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_VPN_src_ACCEPT (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,UNTRACKED /* !fw3 */

Chain zone_lan_dest_ACCEPT (5 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_forward (1 references)
target     prot opt source               destination
forwarding_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan forwarding rule chain */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone lan to wan forwarding policy */
zone_VPN_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3: Zone lan to VPN forwarding policy */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_input (1 references)
target     prot opt source               destination
input_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan input rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
zone_lan_src_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_output (1 references)
target     prot opt source               destination
output_lan_rule  all  --  anywhere             anywhere             /* !fw3: Custom lan output rule chain */
zone_lan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_lan_src_ACCEPT (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,UNTRACKED /* !fw3 */

Chain zone_wan_dest_ACCEPT (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3: Prevent NAT leakage */
ACCEPT     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_dest_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_forward (1 references)
target     prot opt source               destination
forwarding_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan forwarding rule chain */
zone_lan_dest_ACCEPT  esp  --  anywhere             anywhere             /* !fw3: Allow-IPSec-ESP */
zone_lan_dest_ACCEPT  udp  --  anywhere             anywhere             udp dpt:isakmp /* !fw3: Allow-ISAKMP */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port forwards */
zone_wan_dest_REJECT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_input (1 references)
target     prot opt source               destination
input_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan input rule chain */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc /* !fw3: Allow-DHCP-Renew */
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request /* !fw3: Allow-Ping */
ACCEPT     igmp --  anywhere             anywhere             /* !fw3: Allow-IGMP */
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT /* !fw3: Accept port redirections */
zone_wan_src_REJECT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_output (1 references)
target     prot opt source               destination
output_wan_rule  all  --  anywhere             anywhere             /* !fw3: Custom wan output rule chain */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere             /* !fw3 */

Chain zone_wan_src_REJECT (1 references)
target     prot opt source               destination
reject     all  --  anywhere             anywhere             /* !fw3 */

 , , ,

smrnvdmtr ()

Станные дела после mtu fix

Привет!

Настраивал я тут намедни wireguard на потыкать и столкнулся с интересной особенностью: у меня провайдер до сих пор использует PPPoE, т.е. нужна поправка значения mtu, вот такая

MTU = 1412
PostUp = iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
PostDown = iptables -D FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

После этого всё работает, но 2 сайта не открываются - Хабр и ЛОРчик :-)

В чём причина и как дебажить, как думаете?

Трафик снифать wireshark'ом, а как его слать в адаптер wg0 на серваке?

 , , ,

Twissel ()

OpenVPN на ubuntu

Всем добрый. Вообщем поднят openvpn server на tcp (ubuntu 18.04) , клиенты на винде. Теперь к сути проблемы: есть некая софтина самописная ( клиент-сервер ) которая не умеет подключаться по ip. По умолчанию создана для локалки , и собственно там прекрасно работает. Но при поднятии тунеля результата ноль. Логика моих действий такова что эта софтина не умеет выбирать нужный интерфейс для конекта и по дефолту юзает основное подключение. Окей , лезу в метрику выставляя приоритет TAP-адаптеру выше ethernet - результата ноль. Теперь думаю может нужно было поднять по UDP? но ведь по логике вещей в тунеле трафик может любой ходить. Чем отмониторить какой порт юзается и какой он tcp или udp , аля netstat -a не даёт полной картины. Заранее благодарствую

 , , , ,

g1golet ()

соединить IP камеру и NVR, находящиеся в разных сетях

Все привет!

Есть две локалки, каждая за роутером с серым IP, т.е. за NATом. В одной локалке находится IP-камера, в другой - NVR (регистратор). Необходимо подключить камеру к регистратору, который видит устройства только в пределах своей сети (192.168.1.0/24). Компы и OpenWrt-роутер умеют wireguard и находятся в сети 10.0.5.0/24, которую нужно использовать для соединения камеры и регистратора.

Есть идеи как это можно организовать? GPON роутер «тупой»(ZTE F670 от МГТС).

                              +----------------+                               
                              |                |                               
     +------------------+     |                |     +------------------+      
     |    10.0.5.11     |     |    INTERNET    |     |    GPON router   |      
     |  OpenWrt router  |     |                |     |                  |      
     |  192.168.1.1/24  |     |                |     |  192.168.2.1/24  |      
     +------------------+     +----------------+     +------------------+      
        |            |                                   |          |          
        |            |                                   |          |          
+-------- ---+   +------------+                 +------------+-  +------------+
|192.168.1.10|   |192.168.1.20|                 |192.168.2.11|   |192.168.2.21|
| linux PC-1 |   |    NVR     |                 | linux PC-2 |   |  IP camera |
| 10.0.5.12  |   |            |                 | 10.0.5.13  |   |            |
+------------+   +------------+                 +------------+   +------------+
                                                                               

 , ,

Drew0 ()

Сложные настройки, нужна помощь гуру / teredo

Приветствую, уважаемые форумчане. Уже третий день пытаюсь получить публичный адрес, чтобы поднять простенький сервис для себя и дополнительно присоединиться к другому компьютеру по ipv6 через miredo (протокол teredo, публичные сервисы).

sudo apt install miredo

Запускается сервис, получаю ipv6 адрес, http://test-ipv6.com/ показывает, что все ОК, но пинг не проходит.

Отключил firewall с помощью ufw, пинг проходит здесь http://ipv6now.com.au/pingme.php а вот этот сайт говорит, что нет ответа http://ipv6.my-addr.com/ipv6-ping.php

Запускаю сервер

python3 -m http.server --bind :: 8080

http://[ipv6]:8080 В локалке вижу себя, но не по удаленному ip

Здесь говорится о настройках firewall для винды https://sabnzbd.org/wiki/advanced/ipv6

Пробовал открыть порты и вообще для всего teredo интерфейса.

iptables -P INPUT ACCEPT

ещё указывал интерфейс teredo

Тщетно.

Куда ещё копать, как жить?

 , , , ,

vicax88639 ()

forwarding tunnel

Приветствую господа

Столкнулся с такой проблемой настроеy ipip туннель между серверами, всё работает

схема

сеть 2.2.2.0/24–>R1 tun1(10.99.0.2)–>R2 tun1(10.99.0.2)–>eth0(default GW)

так вот сеть 2.2.2.0/24 не проходит через цепочку FORWARD на R2

ip_forwarding включен

если отслеживать то на tun1 R2 видно что приходят пакеты из сети 2.2.2.0/24 даже попадают в цепочку PREROUTING но в FORWARD уже не попадает, все перекопал но не могу найти в чем причина такого поведения. Кто сталкивался?

 , ,

wildarp ()

[РЕШЕНО] IPv6 через тунель GRE IPv4

Здравствуйте, подскажите как настроить:

  1. Сервер с белым IPv4 xxx.xxx.xxx.xxx и несколько IPv6 адресов

  2. Сервер с белым IPv4 yyy.yyy.yyy.yyy (IPv6 нету)

Между ними настроил GRE тунель xxx.xxx.xxx.xxx <-gre-> yyy.yyy.yyy.yyy

Накинул локальные адреса с двух сторон 10.20.2.1 и 10.20.2.2, а так же прописал маршруты.

Все пашет!

Хочу раздать IPv6 адреса с сервера №1 на сервер №2, подскажите как это делается?

 , , , ,

dirsex ()

Туннели которые прикидываются http/imap/ftp

Всем привет. Лорчую из Минска, у нас после выборов сделали dpi фильтр на интернет (уже все ок), так что встал вопрос о туннелях, которые мимикрируют под обычные tcp протоколы : imap, smtp, http, ftp и так далее.

Сразу скажу что не работало :
- udp туннели вообще все
- obfs и всякое левое непонятное tcp
- openvpn/tcp даже через ssh
- socks

Работало :
- ssh и tls, но не на всех провайдерах
- ping (не точно)
- http точно , возможно websockets
- dns (не точно)

Соответственно можно было только сидеть комфортно через туннель, который имитировал http обмен данными. Например gost, chisel.

Влазить в dns, icmp туннели не хочется, потому что они менее производительные.

В данном топике хочу спросить, может кто знает, есть ли туннели, которые имитируют imap, ftp, smtp?
Например, есть точно туннель, который имитирует Facebook messenger, но это tls, а его может не быть.

 , ,

Bers666 ()

WiFi точка доступа через SSH тунель

Подскажите ребят как лучше организовать вот такой сценарий…

Есть Linux сервер, к которому есть неограниченный SSH доступ.
Есть Linux клиент с двумя сетевыми интерфейсами.
Есть точка доступа (WiFi), которая подключена ко второму сетевому интерфейсу.

Т.е. схема наподобии этой:

PC -> WiFi (router) -> Eth2 -> SSH (tunnel) -> Eth1 -> Server -> WWW

Классический VPN совсем не вариант. Необходимо именно SSH тунель.
Понимаю, что копать надо скорее всего в сторону «SSH-based virtual private networks».
Hо мои навыки весьма ограничены.

 , , ,

maxlinux ()

Подозрительный траффик превратить в неподозрительный

Как подозрительный траффик превратить в неподозрительный ?

 ,

ustas1 ()

icmp tunnel

debian vps и debian клиент.

клиент находится в сети с кучей ограничений вплоть до того, что по ssh подключиться на сервер не могу, работает только пинг. воспользовавшись услугой помощь друга был поднят hanstunnel. однако не смотря на то, что icmp пакеты между клиентом и vps бегают нормально, даже с 1500 mtu, туннель не поднимается. когда запускаю клиентский hans

./hans -s 192.168.25.1 -p pass

./hans -c bla.bla.bla.bla -p pass

он просто как будто долбится в пустоту. пробовал то же самое между двумя машинами в одной сети - (естественно) оно работает. тогда никак не пойму как оно может не работать с удаленным хостом если все, что нужно это рабочий пинг! информации по этому вопросу много не нашел, в основном только элементарные мануалы по поднятию установке и запуску. да и проблематично мне сейчас искать, поскольку инет лимитирован по времени в сутки (собственно откуда и взялась идея с hanstunnel).

у кого есть опыт icmp туннелирования, подскажите куда посмотреть.

обновлено:

такое впечатление, что на роутере настроен просто редирект и весь мой icmp трафик тупо заруливается мне обратно. хотя на сервере в дебаге ханса появились записи unknown client

 , , ,

flant ()

Tunneling vs Virtual Privat Networking

Расскажите, почему все любят ВПН и никто не юзает туннели?

 ,

MAGNet ()

Аналог ssh-тоннелей для UDP

Намучился с разными провайдерами. То роутер подпихнут, на котором порты открыть невозможно, то окукливают мой сервер своим NAT'ом. В общем, арендовал дешевый VDS, чтоб с помощью ssh-туннелей можно было без проблем прокидывать свои веб-приложения из дома или с работы.

Есть ли что-либо подобное и для UDP? Чтоб можно было с друзяшками в игрушки играть без боли и независимо от топологии сети? На openvpn смотреть? Руководства по этой фигне меня вгоняют в ступор.

Почитал про VPN over SSH, про UDP завернутый в TCP и пропущенный через SSH-тоннель - всё это показалось дичью. PPP over SSH выглядит неплохо, но я слабо понимаю что здесь происходит и будет ли оно работать с UDP.

Жду советов мудрых. Заранее спасибо и 359!

 , ,

perl5_guy ()

RDP, FTP через SSH server_1 and через SSH server_2

Добрый день. Исходные данные:

  1. homehost (возможность открыть любой порт) установлен ssh клиент и сервер;

  2. serverhost 192.168.1.2 (22 порт смотрит в сеть, остальные закрыты) - привилегии ограничены настолько, что у меня работают только две команды: ssh (подключение) и exit. Больше привилегий мне не дадут.

  3. workhost 192.168.1.3 (ssh server, ftp, rdp) - машина к которой нужен доступ;

Сейчас я работаю так: я подключаюсь с homehost: ssh User@serverhost 22 после успешного подключения я подключаюсь с serverhost: ssh User@workhost 22 и я оказываюсь в workhost

Мне нужен доступ к workhost по RDP (TCP 3389), к FTP (TCP 21) и к служебной программе, которая висит на UDP протоколе.

Сегодня пытался ssh -L 8080:192.168.1.3:21 user@192.168.1.2 Я подключился и через некоторое время началось channel 3: open failed: administratively prohibited: open failed

VPN нельзя поднять. teamviewer запрещен.

Что можно сделать при данных исходных данных (2-я переменная - serverhost константа и ничего я не могу с этим сделать)

P.S. IP указаны как пример

P.S.S. Заранее благодарю за ответ!

 , ,

k_savelev ()

(Не)полная связность на L4

Вводные:
есть две сети 1.1.1.0/24 и 2.2.2.0/24
Между ними файрвол, который является шлюзом
Условно примерно так:
1.1.1.0/24-----[(1.1.1.254)FW(2.2.2.254)]-----2.2.2.0/24

Хосты из 1.1.1.0/24 пингуют хосты в 2.2.2.0/24
Хосты из 2.2.2.0/24 пингуют хосты в 1.1.1.0/24
Хосты из 1.1.1.0/24 могут ходить на любые порты в 2.2.2.0/24
Хосты из 2.2.2.0/24 не могут ходить на любые порты в 1.1.1.0/24, потому что люди, отвечающие за связность, из-за недопонимания настроили ACL только в одну сторону. В другую сторону тоже скоро настроят, но связность нужна ещё вчера.
Доступ есть ко всем хостам, доустановка сторонних пакетов затруднена, хотелось бы обойтись максимально стандартными способами.

Задача: как обеспечить связность в обратную сторону(это времянка на день-два, поэтому любые костыли подойдут).

Пока пытаюсь сделать это через SSH туннель.
Идея примерно такая:
1. Выбираем пару произвольных хостов, вешаем на них по новому адресу, чисто под туннель, делаем туннель
1.1.1.123<--->2.2.2.234
На этом шаге хост 2.2.2.234 может подключиться к 1.1.1.123 на любые порты.
2. Хост 1.1.1.123 будет выступать маршрутизатором для остальных хостов в 1.1.1.0/24, поэтому на нём делаем маршрут 2.2.2.0/24 via 1.1.1.123
Хост 2.2.2.234 будет выступать маршрутизатором для остальных хостов в 2.2.2.0/24, поэтому на нём делаем маршрут 1.1.1.0/24 via 2.2.2.234
3.На хостах сети 1.1.1.0/24 делаем маршрут 2.2.2.0/24 via 1.1.1.123
На хостах сети 2.2.2.0/24 делаем маршрут 1.1.1.0/24 via 2.2.2.234

Ожидаемый результат: всё сходу работает через туннель
Актуальный результат: на втором шаге туннель ломается.

Как я понимаю, это случается потому, что пакеты для пиров туннеля тоже заворачиваются в сам туннель, вместо того, чтобы бегать через дефолтный шлюз.

Вопрос: есть ли способ это разрулить? Ну или можно решить это принципиально иначе?

Ping mky, vel, AS, router, anc


Решение:
NETWORK1 - первая сеть, из которой открыты все порты во вторую сеть
REAL_IP_IN_NETWORK1 - изначальный адрес хоста в первой сети
NETWORK1_GATEWAY - дефолтный шлюз на хосте в первой сети
EXT_TUNNEL_IP_IN_NETWORK1 - внешний адрес туннеля на хосте в первой сети
INT_TUNNEL_IP_IN_NETWORK1 - внутренний адрес туннеля на хосте в первой сети

NETWORK2 - вторая сеть, из которой закрыты все порты в первую сеть
REAL_IP_IN_NETWORK2 - изначальный адрес хоста во второй сети
NETWORK2_GATEWAY - дефолтный шлюз на хосте в первой сети
EXT_TUNNEL_IP_IN_NETWORK2 - внешний адрес туннеля на хосте во второй сети
INT_TUNNEL_IP_IN_NETWORK2 - внутренний адрес туннеля на хосте во второй сети

Важное примечание: если убрать вторые адреса и прописывать маршруты между REAL_IP_IN_NETWORK1 и REAL_IP_IN_NETWORK2, то тот хост из второй сети не сможет взаимодействовать с этим (REAL_IP_IN_NETWORK1) хостом из первой сети, так как весь траффик между ними пойдет не по тунелю, а порты перекрыты.

1. На хосте REAL_IP_IN_NETWORK1 вешаем доп. адрес EXT_TUNNEL_IP_IN_NETWORK1 в сети NETWORK1 чтобы туннель строился именно с него:

ip a a EXT_TUNNEL_IP_IN_NETWORK1/32 dev eth0
ip r a EXT_TUNNEL_IP_IN_NETWORK2/32 via NETWORK1_GATEWAY dev eth0 src EXT_TUNNEL_IP_IN_NETWORK1

2. На хосте REAL_IP_IN_NETWORK2 вешаем доп. адрес EXT_TUNNEL_IP_IN_NETWORK2 в сети NETWORK2 чтобы туннель строился именно на него:
ip a a EXT_TUNNEL_IP_IN_NETWORK2/32 dev eth0
ip r a EXT_TUNNEL_IP_IN_NETWORK1/32 via NETWORK2_GATEWAY dev eth0 src EXT_TUNNEL_IP_IN_NETWORK2

3. Поднимаем туннель c REAL_IP_IN_NETWORK1, чтобы в дальнейшем завернуть в него пакеты на заблокированные порты. После установления соединения на обоих хостах появляются интерфейсы tun0
ssh -b EXT_TUNNEL_IP_IN_NETWORK1 -w 0:0 EXT_TUNNEL_IP_IN_NETWORK2

4. На хосте REAL_IP_IN_NETWORK1 вешаем внутренний туннельный адрес INT_TUNNEL_IP_IN_NETWORK1 на tun0:
ip a a INT_TUNNEL_IP_IN_NETWORK1/32 peer INT_TUNNEL_IP_IN_NETWORK2 dev tun0
ip link set dev tun0 up

5. На хосте REAL_IP_IN_NETWORK2 вешаем внутренний туннельный адрес INT_TUNNEL_IP_IN_NETWORK2 на tun0:
ip a a INT_TUNNEL_IP_IN_NETWORK2/32 peer INT_TUNNEL_IP_IN_NETWORK1 dev tun0
ip link set dev tun0 up

6. На хосте REAL_IP_IN_NETWORK2 прописываем маршрут в NETWORK1 через INT_TUNNEL_IP_IN_NETWORK2:
ip r a NETWORK1 via INT_TUNNEL_IP_IN_NETWORK1 dev tun0 src REAL_IP_IN_NETWORK2

7. На хосте REAL_IP_IN_NETWORK1 прописываем маршрут в NETWORK2 через INT_TUNNEL_IP_IN_NETWORK1:
ip r a NETWORK2 via INT_TUNNEL_IP_IN_NETWORK2 dev tun0 src REAL_IP_IN_NETWORK1

8. На хостах в NETWORK2 прописываем маршрут в NETWORK1 через REAL_IP_IN_NETWORK2
ip r a NETWORK1 via REAL_IP_IN_NETWORK2

9. На хостах в NETWORK1 прописываем маршрут в NETWORK2 через REAL_IP_IN_NETWORK1
ip r a NETWORK2 via REAL_IP_IN_NETWORK1

 , ,

zolden ()

Перенаправление трафика OpenVPN1 через OpenVPN2

Доброго времени!

Прошу помощи, т.к. пытаюсь разобраться в вопросе уже несколько дней, но не выходит. Суть такая. Есть два сервера с OpenVPN. Настройки на серверах абсолютно идентичные. Клиент подключен к обоим. Нужно завернуть один туннель во второй. Ввиду непонимания принципов построения сетей, правил и прочего уже перепробовал кучу вариантов из интернета, но ничего не выходит. Многое написанное просто не понимаю. Ощущение, что суперспециалисты пишут для суперспециалистов. Прошу объяснить простым человеческим языком, как можно победить эту задачу. По состоянию на сейчас правила в iptables базовые, т.е. все разрешено. При подключении первого впн весь трафик идет в него на основании приоритета интерфейса. Далее принудительно ограничиваю любые соединения мимо IP этого сервера, подключаю второй ВПН. Он, как ни странно подключается. То есть я думал, что туннель поднимается внутри первого туннеля. Но затем я повышаю приоритет у второго ВПНа и инет пропадает…

 ,

lobanov18 ()

ip: SIOCADDTUNNEL: No such device не могу поднять GRE туннель

Добрый день! Пытаюсь поднять GRE командой:

ip tunnel add tun1 mode gre local ip1 remote ip2

В итоге выдает данную ошибку:

ip: SIOCADDTUNNEL: No such device

система linux 2.6 Подскажите, как решить проблему?

 , ,

Nemezida ()

Local & Remote Address for Tunnel

Что конкретно означают поля Local Address и Remote Address при создании тоннеля? В документации просто пишут, что это адреса начала и конца туннеля. Хотелось бы больше конкретики. Есть подозрение, что это предлагаемые клиенту адреса на концах интерфейса туннеля. Аналогично предлагаемым настройкам DNS и так далее. Я прав?

 , , , ,

Rot1 ()