vpn, IP forwarding і nat

Я встановив VPN Softether на сервері Ubuntu 14.04 в мережі AW, яка використовує близько десятка серверів цього посібника . Різниця лише в тому, що я використав SecureNat і softether DHCP.

Я можу ввійти до свого сервера за допомогою ssh myname@10.0.0.10.

я додав net.ipv4.ip_forward = 1 до sysctl і

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

Моя мета - дозволити мені отримати доступ до віддалених хостів локальної мережі за допомогою ssh myname@hostname.mydomain.com або http://hostname.domainname.com з мого ноутбука за допомогою vpn. Я був би вдячний за будь-яку пораду в цьому.

— markhorrocks
джерело

Чи домен.com.com доступний через загальнодоступний DNS, чи вказує він на вашу внутрішню мережу, і чи всі ваші цільові системи використовують загальнодоступні IP-адреси?

— NonSecwitter

Якщо це VPN, цільова IP-адреса, ймовірно, виглядатиме як 10.1.0.x і що не має ніякого відношення до вашого загальнодоступного DNS. Ви можете зробити ssh безпосередньо з аутентифікацією відкритого ключа, і це буде відносно безпечно. Вибачте, це виглядає як коментар, але я не можу прокоментувати ще без репутації.

— raynix

Я знаю, що я можу SSH прямо в будь-якому місці в лан, моя мета також HTTP доступ до веб-сервер, який стикається з Інтернетом, але має захищений задній веб-сайт.

— markhorrocks

Я не розумію, наскільки ви досягли вашої мети, так що вибачте за чіткі запитання, але я почну в кінці, і працювати назад.
1) Чи можете ви ssh myname@hostname.mydomain.com 2) Ви можете ssh myname @ 3) можна nslookup hostname.mydomain.com і отримати 4) Ви можете пінг 5) якщо ви простежуєте, як близько ви отримуєте? 5.1) Ви отримуєте до віддаленої сторони тунелю 5.2) Ви пройшли повз місцеву ділянку тунелю

Я можу сказати бабусі, як смоктати яйця, але налаштування vpn - це три етапи. 1) встановити тунель, або з будь-якого кінця створення тунелю на деякі події трафіку, або до постійно 2) переконайтеся, що весь трафік, що входить в тунель, залишає його з адресою, яка може бути ідентифікована тим, що збирається її отримати (у вашому випадку сервер NATing, але це означає, що віддалені сервери не можуть ініціювати розмови з вашою машиною) 3) переконайтеся, що трафік, що виходить з віддаленої сторони тунелю, може дістатися до місця призначення та повернутися назад. З цієї причини я зазвичай налаштовую ICMP echo і залишимо його, тому я можу перевірити цей етап, по-перше, якщо у мене виникли проблеми.

Просто пам'ятайте, що traceroute є вашим другом, і вам, швидше за все, потрібно буде правильно встановити маршрутизацію, щоб отримати від кожної машини до наступної. NAT ускладнює це, тому, коли я останню установку VPN себе, я забезпечив приватних мереж по обидві сторони тунелю були різні адреси мережі і може маршрутизувати між собою (в моєму випадку я 192.168.Ax і 192.168.Bx і 192.168. Cx все відскакує від одного загальнодоступного сервера, де кожен повинен був мати NAT з іншого веб-сайту, щоб отримати доступ до Інтернету.Це означало, що було набагато простіше, щоб сказати кожному локальному DHCP-серверу, додати маршрути, до інших мереж, через місцеву точку входу в тунель).

Сподіваюся, що це допоможе, вибачте, якщо це просто сказати, що ви вже знали.

— sibaz
джерело

Я ціную ваші коментарі та час, необхідний для їх написання. Через відсутність відповіді на цьому сайті (це мій перший пост тут) я вчора зробив значний прогрес у цій проблемі, але поки не вирішив проблему http. Через цей прогрес питання стало більше про помилку сервера, а не загальне, як запитати, тому я знову відправив його на [serverfault] ( serverfault.com/questions/697438/… )

— markhorrocks