Проброс портов для openvpn

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

demetrius2003
Сообщения: 48

Проброс портов для openvpn

Сообщение demetrius2003 » 30.06.2018 16:52

Доброго времени суток, уважаемые форумчане!
Немного не могу допетрить. Вобщем смысл в следующем. Есть домашняя сеть с роутером. Есть ВДС под Убунту. На Убунте поднят OpenVPN. На одной из машин внутри домашней локалки поднят клиент OpenVPN. Всё настроено и замечательно работает. Теперь задача стоит сложнее. На этом компе в домашней локалке стоит софт, для которого нужны открытые порты. Если без OpenVPN, то всё просто - пробросил порты на роутере и вуаля! Всё работает. Но мне надо проделать это через OpenVNP. Пытаюсь для начала пробросить 21 порт - нихрена не выходит! Столько рецептов уже перепробовал!
Исходные данные такие - Домашний комп с адресом 192.168.1.200. Роутер 192.168.1.1. Домашний комп в сети ВПН 10.128.0.6. ВДС: Внешний адрес (он же venet0:0) 45.45.45.45, адрес поднятого OpenVPN (он же tun0) 10.128.0.1. С домашнего компа я пингую и 10.128.0.6 и 10.128.0.1 и 45.45.45.45. И в интернет хожу нормально. А вот с ВДС пингуется только 10.128.0.1 и 45.45.45.45. Адрес 10.128.0.6 из Убунты не пингуется! Соответственно и свой домашний FTP с Убунты я не вижу. Как сделать так, чтоб при вышеизложенном раскладе мой домашний FTP виделся по адресу 45.45.45.45:21?
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 14675
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Проброс портов для openvpn

Сообщение Bizdelnick » 30.06.2018 18:26

demetrius2003 писал(а):
30.06.2018 16:52
С домашнего компа я пингую и 10.128.0.6 и 10.128.0.1 и 45.45.45.45. И в интернет хожу нормально. А вот с ВДС пингуется только 10.128.0.1 и 45.45.45.45. Адрес 10.128.0.6 из Убунты не пингуется!
Это странно. Скорее всего надо курить настройки файрвола (с обеих сторон).
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

demetrius2003
Сообщения: 48

Re: Проброс портов для openvpn

Сообщение demetrius2003 » 30.06.2018 19:31

Настройка файрвола домашнего компа не трогаем (он, кстати, на виндовс), так как машина нормально работает под любым сетевым соединением, со множеством провайдеров. Проблема на стороне ВДС. И тут у меня белое пятно в познаниях. В этой консерватории что-то поправить надо. Друзья! Пните меня в верном направлении, пожалуйста! Вот есть venet0:0 - внешний интерфейс и tun0 - собственно OpenVPN! Как они уживаются вместе? Форвардинг включен (тот что net.ipv4.ip_forward=1). Может ограничение по tun/tap физически какое есть? Этож контейнер kvm, вроде? Короче! Мне завязали глаза и я хожу вокруг да около!
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 14675
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Проброс портов для openvpn

Сообщение Bizdelnick » 30.06.2018 19:47

Если пинг работает хотя бы в одну сторону, то с настройкой интерфейсов всё нормально.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
nerve
Сообщения: 260
ОС: OpenBSD

Re: Проброс портов для openvpn

Сообщение nerve » 02.07.2018 10:17

так как ты описал нормально работать не будет и вот почему: у клиента, который соединяется с 45.45 есть свой публичный адрес.
допустим ты пробросил порт внутри впн и он дошел до твоего сервера. твой сервер отвечает клиенту на его публичный адрес через свой шлюз по умолчанию. в итоге клиенту ответ приходит не с того адреса, куда он его отправлял и такой пакет отбрасывается. по идее это можно исправить делая НАТ одновременно с пробросом порта, чтоб твой сервер слал ответы назад через впн или использовать что-то вроде фтп-прокси. в последнем случае вероятно можно обойтись и без впн или разбираться с впн.
ну и напоследок, протокол фтп - это не тот случай, когда его корректная работа достигается пробросом порта. гуглим режимы работы фтп и разбираемся как он работает и приходим к выводу что даже при корректной работе впн описанный случай использования фтп может не заработать без посторонних утилит.
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 14675
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Проброс портов для openvpn

Сообщение Bizdelnick » 02.07.2018 10:38

nerve писал(а):
02.07.2018 10:17
допустим ты пробросил порт внутри впн и он дошел до твоего сервера. твой сервер отвечает клиенту на его публичный адрес через свой шлюз по умолчанию. в итоге клиенту ответ приходит не с того адреса, куда он его отправлял и такой пакет отбрасывается.
Во-первых, на внутренний адрес ответ никаким другим путём прийти не может. Во-вторых, пакет на адрес 10.128.0.1 будет по любому отправлен через 10.128.0.6, они ведь в одной подсети. В-третьих, если бы имела место проблема с маршрутизацией, она бы одинаково влияла на хождение пингов в обоих направлениях.
nerve писал(а):
02.07.2018 10:17
ну и напоследок, протокол фтп - это не тот случай, когда его корректная работа достигается пробросом порта.
Вот тут соглашусь. Не исключено, что проблемы с FTP и с пингом вообще между собой не связаны. Например настройки винды могут запрещать ответ на пинги извне, а для FTP не хватает проброса портов пассивного режима.
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали:

Аватара пользователя
nerve
Сообщения: 260
ОС: OpenBSD

Re: Проброс портов для openvpn

Сообщение nerve » 02.07.2018 11:45

Bizdelnick писал:
02.07.2018 10:38
Во-первых, на внутренний адрес ответ никаким другим путём прийти не может. Во-вторых, пакет на адрес 10.128.0.1 будет по любому отправлен через 10.128.0.6, они ведь в одной подсети. В-третьих, если бы имела место проблема с маршрутизацией, она бы одинаково влияла на хождение пингов в обоих направлениях.
я не уверен, что понял этот комментарий.
схема такая: 2 хоста в Инете с публичными ИП, сервер фтп находится за роутером, впн между сервером фтп и другим хостом в инете с адресом 45.45. Когда на этот 45 приходит пакет, то проброс портов меняет ему назначение на адрес фтп сервера (адрес клиента, пославшего пакет остается) и этот пакет идет через впн и попадает на фтп сервер, у которого свой шлюз, через который идет ответ клиенту (а не через 45.45 куда пришел изначальный пакет).
Спасибо сказали:

Аватара пользователя
Bizdelnick
Модератор
Сообщения: 14675
Статус: grammatikführer
ОС: Debian GNU/Linux

Re: Проброс портов для openvpn

Сообщение Bizdelnick » 02.07.2018 11:56

nerve писал(а):
02.07.2018 11:45
схема такая: 2 хоста в Инете с публичными ИП, сервер фтп находится за роутером, впн между сервером фтп и другим хостом в инете с адресом 45.45. Когда на этот 45 приходит пакет, то проброс портов меняет ему назначение на адрес фтп сервера (адрес клиента, пославшего пакет остается) и этот пакет идет через впн и попадает на фтп сервер, у которого свой шлюз, через который идет ответ клиенту (а не через 45.45 куда пришел изначальный пакет).
Это всё в принципе не может работать, если нет связи между хостами в VPN (10.128.0.1 и 10.128.0.6).
Пишите правильно:
в консоли
вкупе (с чем-либо)
в общем
вообще
в течение (часа)
команда
новичок
нюанс
приемлемо
проблема
пробовать
трафик
Спасибо сказали: