openvpn es 1 port atdobas

 ( dragi | 2006. május 22., hétfő - 14:07 )

Hello

Van 2 linux serverem 2 kulonbozo helyen. Osszekapcsoltam oket openvpn-nel.

igy most van egy server 10.9.0.1 es ipvel meg egy kliens 10.9.0.2 ipvel.

A kliens mogott van egy natolt halozat es a server mogott is. konkretan azt szeretnem megoldani, hogy ha a kliens belso halojarol inditok egy kerest a kliens vpn egy bizonyos portjara, akkor azt dobja at a vpn servernek.

iptables -t nat -A PREROUTING -p tcp --dport 123 -s belsohalo -j DNAT --to 10.9.0.1

nem dobja at.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem értem pontosan a problémád, amit gondolok:
1. szerver 10.9.0.1 (subnet1?)
2. szerver 10.9.0.2 (subnet2?)

Ha az egyik szerver mögötti masinkáról a másik szerver adott portjára akarsz valamit portforwardolni, akkor azt a másik szerver iptables dolgaiban kellene regisztrálni. Mivel az openvpn által kezelt forgalom az egyes klienseken a megfelelő konfig után route-olási beállítás.
Szóval a subnet1-ből subnet2-be menő dolgok egyrészt a subnet1-et kezelő, másrészt a subnet2-t kezelő openvpn végpont(vagy szerver) route-olási beállításaiban kell elsődlegesen definiálni.

Ezzel normálban a két subnet közt meg lenne az átjárás.
Ezek után meg azon a gépen amelyiken az adott portra szeretnél forwardolni, az iptables konfigban a tun device-ról kijövő forgalmat kellene matatni.

Bár sokat segítene, ha kicsit konkrétabb helyzetleírást adnál:
kliens1 IP, kliens2 IP, szerver1 IP, szerver2 IP, szerver1 által route-olt subnet1, szerver2 által route-olt subnet2.
És hogy honnan-hova szeretnél a tunnel másik oldalán eljutni.

Üdv,
t

belso1 (192.168.100.0) -- openvpn1 (kliens 10.9.0.2) --- internet --- openvpn2 (server 10.9.0.1) --- belso2

Az openvpn1 kapcsolodik fel az openvpn2-re. Azt szeretnem, hogy ha a belso1-bol inditok egy kerest egy portra az az openvpn2-re csatlakozzon, de csak az a port. A tobbi forgalmat nem akarom a vpnre terelni. Az openvpn1 es openvpn2 latja egymast es azt a portot is eleri az openvpn1 amire ra akarok csatlakozni a belso1-bol is ezt szeretnem de ugy hogy az openvpn1 belso ip-jet cimzem meg es az atdobja azt az 1 portot.

Ebben a felállásban az openvpn1 masinán kell portforwardot csinálni, de nem a vpn-es ip címekre.
Ha az openvpn2 gépnek a belso2 hálón a címe 10.x.y.z
akkor openvpn1-en:

iptables -t nat -A PREROUTING -p tcp --dport 123 -s belso1 -j DNAT --to 10.x.y.z

bár itt a 10.9.0.1-re is mennie kéne.
Ha nem megy, akkor route-olási probléma van (a belso1 hálón lévő gépről nincsen route a 10.9.0.1 felé).