Hello
Van 2 linux serverem 2 kulonbozo helyen. Osszekapcsoltam oket openvpn-nel.
igy most van egy server 10.9.0.1 es ipvel meg egy kliens 10.9.0.2 ipvel.
A kliens mogott van egy natolt halozat es a server mogott is. konkretan azt szeretnem megoldani, hogy ha a kliens belso halojarol inditok egy kerest a kliens vpn egy bizonyos portjara, akkor azt dobja at a vpn servernek.
iptables -t nat -A PREROUTING -p tcp --dport 123 -s belsohalo -j DNAT --to 10.9.0.1
nem dobja at.
- 1039 megtekintés
Hozzászólások
Nem értem pontosan a problémád, amit gondolok:
1. szerver 10.9.0.1 (subnet1?)
2. szerver 10.9.0.2 (subnet2?)
Ha az egyik szerver mögötti masinkáról a másik szerver adott portjára akarsz valamit portforwardolni, akkor azt a másik szerver iptables dolgaiban kellene regisztrálni. Mivel az openvpn által kezelt forgalom az egyes klienseken a megfelelő konfig után route-olási beállítás.
Szóval a subnet1-ből subnet2-be menő dolgok egyrészt a subnet1-et kezelő, másrészt a subnet2-t kezelő openvpn végpont(vagy szerver) route-olási beállításaiban kell elsődlegesen definiálni.
Ezzel normálban a két subnet közt meg lenne az átjárás.
Ezek után meg azon a gépen amelyiken az adott portra szeretnél forwardolni, az iptables konfigban a tun device-ról kijövő forgalmat kellene matatni.
Bár sokat segítene, ha kicsit konkrétabb helyzetleírást adnál:
kliens1 IP, kliens2 IP, szerver1 IP, szerver2 IP, szerver1 által route-olt subnet1, szerver2 által route-olt subnet2.
És hogy honnan-hova szeretnél a tunnel másik oldalán eljutni.
Üdv,
t
- A hozzászóláshoz be kell jelentkezni
belso1 (192.168.100.0) -- openvpn1 (kliens 10.9.0.2) --- internet --- openvpn2 (server 10.9.0.1) --- belso2
Az openvpn1 kapcsolodik fel az openvpn2-re. Azt szeretnem, hogy ha a belso1-bol inditok egy kerest egy portra az az openvpn2-re csatlakozzon, de csak az a port. A tobbi forgalmat nem akarom a vpnre terelni. Az openvpn1 es openvpn2 latja egymast es azt a portot is eleri az openvpn1 amire ra akarok csatlakozni a belso1-bol is ezt szeretnem de ugy hogy az openvpn1 belso ip-jet cimzem meg es az atdobja azt az 1 portot.
- A hozzászóláshoz be kell jelentkezni
Ebben a felállásban az openvpn1 masinán kell portforwardot csinálni, de nem a vpn-es ip címekre.
Ha az openvpn2 gépnek a belso2 hálón a címe 10.x.y.z
akkor openvpn1-en:
iptables -t nat -A PREROUTING -p tcp --dport 123 -s belso1 -j DNAT --to 10.x.y.z
bár itt a 10.9.0.1-re is mennie kéne.
Ha nem megy, akkor route-olási probléma van (a belso1 hálón lévő gépről nincsen route a 10.9.0.1 felé).
- A hozzászóláshoz be kell jelentkezni