Переслати порт клієнту VPN?

Я натрапив на головоломку і не мав великого шансу знайти рішення. Зараз я (на жаль) підключений до мережі через Verizon 3G. Вони фільтрують весь вхідний трафік, тому мені неможливо відкрити порти, щоб прийняти з'єднання.

Наразі у мене на сайті linode.com є віртуальна машина Linux, і думка перехрестилася, щоб встановити pptpdта спробувати зробити деяку iptablesпереадресацію портів. Я pptpdвстановив, і моя домашня машина радісно підключається. Однак, ось загальна інформація:

IP-адреса сервера (Debian) WAN IP: xxxx on eth0 - pptpd IP: yyy1 on ppp0 - VPN клієнта IP: yyy100

Щоб переконатися, що я не божевільний, я спробував кілька підключень від сервера до відкритих портів клієнта, і клієнт приймає з'єднання через VPN IP.

Я хочу досягти цього:

Інтернет -> WAN IP: Порт -> Переслати клієнту VPN IP: Порт

Так, наприклад, якби у мене був відкритий порт 6000 на моєму клієнті, людина могла би ввести телефон в мережу xxxx: 6000, і сервер би це схопив і переправив на 192.168.3.100:6000.

Я спробував щонайменше 20 різних конфігурацій iptablesGooglegled, і жоден ще не працював. Хтось має ідеї чи, можливо, навіть зовсім інший підхід, про який я, можливо, не знаю? Мета полягає в тому, щоб прослуховувати жахливо підключене з'єднання, бажано як TCP, так і UDP-трафік.

Для цього потрібно виконати три речі на сервері VPN (Linode):

1. Ви повинні ввімкнути переадресацію IP:

   sysctl -w net.ipv4.ip_forward=1
   

2. Встановіть NAT (DNAT) для переадресації порту. Ви, напевно, вже зрозуміли це, тому що це стандартні речі для пересилання портів, але для повноти:

   iptables -t nat -A PREROUTING -d x.x.x.x -p tcp --dport 6000 -j DNAT --to-dest y.y.y.100:6000
   

3. Налаштуйте джерело NAT (SNAT) таким чином, щоб з точки зору вашого клієнта VPN з'єднання виходило з VPN-сервера:

   iptables -t nat -A POSTROUTING -d y.y.y.100 -p tcp --dport 6000 -j SNAT --to-source y.y.y.1
   

Причина, що вам потрібна SNAT, полягає в тому, що в іншому випадку ваш VPN-клієнт відправить свої повернення пакетів прямо на хост, який ініціював з'єднання (zzzz) через шлюз за замовчуванням (тобто Verizon 3G), а не через VPN. Таким чином, IP-адреса джерела у повернених пакетах буде вашою Verizon 3G адресою, а не xxxx Це спричиняє всілякі проблеми, оскільки zzzz дійсно ініціював підключення до xxxx

У більшості налаштувань переадресації портів SNAT не потрібен, оскільки хост, який виконує переадресацію порту, також є шлюзом за замовчуванням для хостового пункту призначення (наприклад, домашнього маршрутизатора).

Також зауважте, що якщо ви хочете переслати порт 6000 на інший порт (скажімо, 7000), то правило SNAT повинно відповідати 7000, а не 6000.

У мене також була ця проблема і годинами намагалася її вирішити .. Ось моє рішення:

• У мене було більше одного VPNClientз тим самим IPAddress. Тому я дав кожному з них статикуIPAddress

Визначте каталог, де слід зберігати клієнтські скрипти, наприклад / etc / openvpn / staticclients та створіть каталог

mkdir /etc/openvpn/staticclients

Додайте цей каталог як опцію у свій файл налаштування openvpn на сервері:

client-config-dir /etc/openvpn/staticclients

Для кожного клієнта потрібно створити файл. Ім'я файлу повинно відповідати common nameатрибуту, який був вказаний у сертифікаті клієнта. Ця команда отримує CN від сертифікату на комп’ютери:

Цей приклад підштовхує IPAddress10.1.134.110/10.1.134.109 до Клієнта з common name TESTCLIENT, а також підштовхує додатковий маршрут для підмережі 10.1.135.0.

cat /etc/openvpn/staticclients/TESTCLIENT

ifconfig-push 10.1.134.110 10.1.134.109
push "route 10.1.135.0 255.255.255.0 10.1.134.62"

• http://www.yougetsignal.com/tools/open-ports/ та http://canyouseeme.org/ неправильно виявили порти. Мені довелося додатково запустити свою заявку на клієнті, щоб веб-сайти могли бачити ці порти.

• Не потрібно додаткових SNATправил. Потрібні були лише такі правила:

sysctl -w net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -p tcp --dport 28006 -j DNAT --to 10.1.134.110

У більшості серверів вимкнено переадресацію ip у конфігурації за замовчуванням. Це потрібно ввімкнути, якщо ви хочете перенаправляти вхідні з'єднання через свою VPN.

Спробуйте це:

sysctl -w net.ipv4.ip_forward = 1

Я маю на увазі, крім конфігурації iptables.

Те, що ви хочете досягти, - це, мабуть, дуже можливо за допомогою pptpdOpenVPN та iptables, однак, ви можете знайти кращого кандидата для цього випадку використання. Я щойно прочитав це, де описано, як налаштувати tinc саме для цього випадку використання. Це (потенційно простіша) альтернатива частині pptdpабо OpenVPN. Тоді вам знадобляться точно такі ж правила для iptables.