Перенаправить трафик вторичного сетевого интерфейса вместе с переадресацией портов на tun0 (OpenVPN) с помощью iptables
У меня есть сервер NAS, для которого я должен сделать переадресацию портов, чтобы сделать его службы доступными из Интернета. Однако мой провайдер блокирует порты, поэтому мне удалось купить себе дешевый Ubuntu VPS для запуска сервера OpenVPN и затем каким-то образом перенаправить весь трафик NAS и необходимые порты туда.
Моя установка выглядит следующим образом:
+--------------------------------+
| Raspi |
(192.168.0.101/24)| |(192.168.1.1/24)
(192.168.0.1/24) AP<>=================={wlan0 eth0}================<>NAS (192.168.1.102/24)
| \ / |
| +----------------------+ |
| | iptables and | |
| | routing engine | |
| +-----------+----------+ |
| | |
| {tun0} |
| 10.8.0.6 |
+--------------------------------+
Я полагаю, что сторона VPS настроена правильно, так как я могу подключиться к своему Raspberry Pi через мой VPS IP. Вот что я сделал там, чтобы заставить это работать:
iptables -t nat -A PREROUTING -d A.B.C.D -p tcp --dport 22 -j DNAT --to-dest 10.8.0.6:22
iptables -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport 22 -j SNAT --to-source 10.8.0.1
Моя конфигурация сервера OpenVPN:
port X
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
Я также сделал:
sysctl -w net.ipv4.ip_forward=1
и положи DEFAULT_FORWARD_POLICY="ACCEPT"
в /etc/default/ufw
а также добавил
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
в
/etc/ufw/before.rules
Конфигурация клиента OpenVPN:
client
dev tun
proto udp
remote A.B.C.D X
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
<ca>
XXX
</ca>
<cert>
YYY
</cert>
<key>
ZZZ
</key>
Как перенаправить трафик eth0 на туннель и перенаправить порты Y и Z через туннель?
Я просто знаю, что для других портов я должен соответствующим образом перенастроить свой VPS, как я сделал для порта 22.
1 ответ
Мне удалось перенаправить трафик на моем Raspi с помощью следующей команды:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE
Когда я выхожу из своего NAS, он проходит через туннель. Теперь мне нужно только перенаправить порты в этом туннеле.
ОБНОВЛЕНИЕ (решение всего проекта):
Я наконец нашел правильные команды переадресации портов после часов поиска. Я выполнил следующие команды на своем Raspi:
iptables -t nat -I PREROUTING -p tcp -i tun0 -d 10.8.0.6 --dport <port> -j DNAT --to 192.168.1.102:<port>
iptables -I FORWARD -p tcp -i tun0 -d 192.168.1.102 --dport <port> -j ACCEPT
А также эти команды на моем VPS, как я делал сначала для порта 22 в начале этого потока:
iptables -t nat -A PREROUTING -d 217.160.14.45 -p tcp --dport <port> -j DNAT --to-dest 10.8.0.6:<port>
iptables -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport <port> -j SNAT --to-source 10.8.0.1
Итак, теперь я обошёл брандмауэр своего интернет-провайдера и смог получить доступ к своему NAS и его сервисам, используя переадресацию портов на стороне VPS. Вы можете использовать это как учебник:)