Egy komplexebb routert kéne összeraknom, de szerintem a iptables beállításnál hibádzik a rendszer (és a tudományom).
Adott egy gép két hálózati kártyával (eth0 eth1), egy betárcsázós internettel (ppp0) és egy vpnnel (tun0).
A internet felé a ppp0-n keresztül megy ki.
ip címek:
eth0
ip: 192.168.3.1
mask: 255.255.255.0
bcast: 192.168.3.255
netw: 192.168.3.0
Ezen az eszközön keresztül egy adott porton (192.168.3.10:5000) figyelő berendezést kell(ene) tudni elérni. A router-ről böngészőből el is érem.
eth1
ip: 192.168.4.1
mask: 255.255.255.0
bcast: 192.168.4.255
netw: 192.168.4.0
vpn (kliens):
ip: 10.8.0.10
mask: 255.255.255.255
Itt létrejön a routingnál egy 10.8.0.9 is, de ezt nem tudom, hogy mi.
A ppp0-t és a vpn-t a gnome networkmanager kezeli gond nélkül.
A vpn hálózatról a 10.8.0.10:5000-es címre érkező kapcsolatokat továbbítani kéne a 192.168.3.10:5000-re. Ez a rész még talán jó:
iptables -t nat -A PREROUTING -p tcp -i tun0 --dport 5000 -j DNAT --to 192.168.3.10:5000
iptables -A FORWARD -p tcp -i eth0 -d 192.168.3.10 --dport 5000 -j ACCEPT
Az eth1-re érkező minden kérést tovább kéne routingolni a ppp0-ra. Erre a kártyára crosslink-el kötöttem egy d-link wifi routert aminek megadtam, hogy a gw legyen a linux, megadtam hogy milyen címeket osszon ki az oda kötött gépeknek (192.168.4-es alhálózat).
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Ilyen sorrendben configoltam fel a rendszert:
1. ppp0
2. vpn
3. eth0-n lévő eszköz elérése vpn felől
4. eth1-re kötött gépek internetelérése.
Ahogy szépen sorban raktam össze az egészet teszteltem, hogy az adott lépés működik-e, visszafele nem néztem hogy történt-e regresszió. Mind a 4 pont működött legalább egyszer.
A végén feltelepítettünk még egy vpn-es klienst amiről már nem tudtam elérni a eth0-n lévő eszközt. Ekkor tapasztaltam, hogy az eth0-t a vpn szerverről sem tudom elérni, így valamit elronthattam menet közben.
Sajnos a hálózati tudásom kissé hiányos így nem látom, hogy mi hiányzik még ahhoz, hogy minden működjön. Tippem szerint valami a tűzfalból hiányzik.
tcpdump-al néztem hogy meddig jut el a kérés. A tun0-ra megérkezik az 5000-s portra (tehát a vpn jó), viszont valami miatt nem natolja tovább a másik kártyára.
Bizonyos korlátozás miatt a vpn-t nem lehet kihagyni, a rendszernek a tervezett módon kell működnie.
További gond, hogy jelenleg nem férek hozzá a telepített rendszerhez, úgyhogy az esetleges ötleteket csak jövőhéten tudom kipróbálni.
Ha sikerül összelőni a rendszert, készítenék leírást (hogyan szerűséget) a tapasztalatokból. (volt probléma dögivel)
- 1563 megtekintés
Hozzászólások
OpenVPN? Fel kellene venni a 192.168.3.0 -s networkot push -al a vpn configba, igy ha beleptel a VPN-re, akkor minden tovabbi nelkul el tudod erni 3.10 -es gep adott portjat. Vagy lehet en ertelmezek felre valamit?
- A hozzászóláshoz be kell jelentkezni
Utánaolvasok, lehet hogy ez lesz a megoldás. Köszi!
- A hozzászóláshoz be kell jelentkezni