Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
Jestem posiadaczem maszyny VPS na której postawiony jest debian 6 i na nim mam skonfigurowany serwer OpenVPN w trybie tun z adresacją 192.168.88.0. Serwer startuje i jestem w stanie pingować adres podłączonego klienta (też linux tylko w wersji tomato na router) i w drugą stronę to samo. Również z serwera jestem w stanie połączyć się przez SSH z tomato. Niestety nie jestem w stanie z poziomu debiana dostać się na web tomato mimo, ze przez SSH można się połączyć. Wpisanie poniższych reguł odcina dostęp z Debiana do drugiej końcówki tunelu (pingowanie, SSH przestaje działać):
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT iptables -A FORWARD -s 192.168.88.0/24 -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o eth0 -j MASQUERADE
Jakie reguły by należało wpisać w firewallu aby udało się dostać z Debiana (mam tam zainstalowane x-windows + serwer VNC) na interfejs ww tomato uruchomiony na porcie 88 oraz w jaki sposób przekierować porty 80 i 443 aby z IP publicznego na interfejsie eth0 w debianie były przekierowane przez tunel na adres tomato (192.168.88.6) a następnie tam sam juz je przekieruje sobie z interfejsu tun 11 na br1 i konkretny komputer w sieci LAN tomato.
Taka zawiła konfiguracja pojawiła się w celu ominięcia braku dostępu do routera z tomato, który ma Internet LTE a operator jak wiadomo wycina cały ruch przychodzący mimo publicznego adresu.
Z góry dziękuje za jakieś wskazówki gdyz troche walczę z tym tematem ale niestety gdzieś robie błąd i nie udaje mi się wpisać poprawnych reguł firewalla w iptables.
W przypadku wątpliwości lub potrzeby dodatkowych informacja mam dostęp do obydwu sprzętów zdalny.
Offline
Użyj zamiast interejsów TUN interfejsy TAP, te są widoczne w systemie jako karty sieciowe z normalnymi adresami IP.
Sam im ustalisz adresy, potem te interfejsy wskażesz w konfigach klienta i serwera, i masz wirtualny LAN, resztę załatwisz trasami routingu (konfigurowanie poleceniem [b]route[/b] albo [b]ip[/b] z paczki iproute2).
Firewall służy do kontroli dostępu a nie ustalania tras routingu.
Pozdro
;-)
Offline
Dzięki za szybką odpowiedź.
Takie rozwiązanie wydawało mi się łatwiejsze w realizacji a niestety z interfejsami tun miałem wcześniej same problemy i nie udało mi tego uruchomić na debianie. Na tomato nie miałem z tym problemu ale tam to wszystko można było ustawić z interfejsu w przeglądarce co jest łatwiejsze. How to na oficjalnej stronie openVPN jest trochę mgliste dla mnie czy znasz może jakiegoś tutka, który by to precyzyjnie wyjaśniał?
A czy przy obecnej konfiguracji jest szansa na ustalenie ręcznie tras routingu aby z debiana wejść w sieć na końcu tunelu (tomato ma adresacje LAN 192.168.0.0) via tun0 z adresacja tun 192.168.88.0?
Pozdro.
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00096 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.135.206.166' WHERE u.id=1 |
0.00057 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.135.206.166', 1732791079) |
0.00049 | SELECT * FROM punbb_online WHERE logged<1732790779 |
0.00072 | SELECT topic_id FROM punbb_posts WHERE id=286354 |
0.00042 | SELECT id FROM punbb_posts WHERE topic_id=27332 ORDER BY posted |
0.00081 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27332 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00075 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27332 ORDER BY p.id LIMIT 0,25 |
0.00078 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27332 |
Total query time: 0.0057 s |