Доброго времени суток, уважаемые форумчане!
Немного не могу допетрить. Вобщем смысл в следующем. Есть домашняя сеть с роутером. Есть ВДС под Убунту. На Убунте поднят OpenVPN. На одной из машин внутри домашней локалки поднят клиент OpenVPN. Всё настроено и замечательно работает. Теперь задача стоит сложнее. На этом компе в домашней локалке стоит софт, для которого нужны открытые порты. Если без OpenVPN, то всё просто - пробросил порты на роутере и вуаля! Всё работает. Но мне надо проделать это через OpenVNP. Пытаюсь для начала пробросить 21 порт - нихрена не выходит! Столько рецептов уже перепробовал!
Исходные данные такие - Домашний комп с адресом 192.168.1.200. Роутер 192.168.1.1. Домашний комп в сети ВПН 10.128.0.6. ВДС: Внешний адрес (он же venet0:0) 45.45.45.45, адрес поднятого OpenVPN (он же tun0) 10.128.0.1. С домашнего компа я пингую и 10.128.0.6 и 10.128.0.1 и 45.45.45.45. И в интернет хожу нормально. А вот с ВДС пингуется только 10.128.0.1 и 45.45.45.45. Адрес 10.128.0.6 из Убунты не пингуется! Соответственно и свой домашний FTP с Убунты я не вижу. Как сделать так, чтоб при вышеизложенном раскладе мой домашний FTP виделся по адресу 45.45.45.45:21?
Проброс портов для openvpn
Модератор: SLEDopit
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Проброс портов для openvpn
Это странно. Скорее всего надо курить настройки файрвола (с обеих сторон).demetrius2003 писал(а): ↑30.06.2018 16:52С домашнего компа я пингую и 10.128.0.6 и 10.128.0.1 и 45.45.45.45. И в интернет хожу нормально. А вот с ВДС пингуется только 10.128.0.1 и 45.45.45.45. Адрес 10.128.0.6 из Убунты не пингуется!
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 59
Re: Проброс портов для openvpn
Настройка файрвола домашнего компа не трогаем (он, кстати, на виндовс), так как машина нормально работает под любым сетевым соединением, со множеством провайдеров. Проблема на стороне ВДС. И тут у меня белое пятно в познаниях. В этой консерватории что-то поправить надо. Друзья! Пните меня в верном направлении, пожалуйста! Вот есть venet0:0 - внешний интерфейс и tun0 - собственно OpenVPN! Как они уживаются вместе? Форвардинг включен (тот что net.ipv4.ip_forward=1). Может ограничение по tun/tap физически какое есть? Этож контейнер kvm, вроде? Короче! Мне завязали глаза и я хожу вокруг да около!
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Проброс портов для openvpn
Если пинг работает хотя бы в одну сторону, то с настройкой интерфейсов всё нормально.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Проброс портов для openvpn
так как ты описал нормально работать не будет и вот почему: у клиента, который соединяется с 45.45 есть свой публичный адрес.
допустим ты пробросил порт внутри впн и он дошел до твоего сервера. твой сервер отвечает клиенту на его публичный адрес через свой шлюз по умолчанию. в итоге клиенту ответ приходит не с того адреса, куда он его отправлял и такой пакет отбрасывается. по идее это можно исправить делая НАТ одновременно с пробросом порта, чтоб твой сервер слал ответы назад через впн или использовать что-то вроде фтп-прокси. в последнем случае вероятно можно обойтись и без впн или разбираться с впн.
ну и напоследок, протокол фтп - это не тот случай, когда его корректная работа достигается пробросом порта. гуглим режимы работы фтп и разбираемся как он работает и приходим к выводу что даже при корректной работе впн описанный случай использования фтп может не заработать без посторонних утилит.
допустим ты пробросил порт внутри впн и он дошел до твоего сервера. твой сервер отвечает клиенту на его публичный адрес через свой шлюз по умолчанию. в итоге клиенту ответ приходит не с того адреса, куда он его отправлял и такой пакет отбрасывается. по идее это можно исправить делая НАТ одновременно с пробросом порта, чтоб твой сервер слал ответы назад через впн или использовать что-то вроде фтп-прокси. в последнем случае вероятно можно обойтись и без впн или разбираться с впн.
ну и напоследок, протокол фтп - это не тот случай, когда его корректная работа достигается пробросом порта. гуглим режимы работы фтп и разбираемся как он работает и приходим к выводу что даже при корректной работе впн описанный случай использования фтп может не заработать без посторонних утилит.
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Проброс портов для openvpn
Во-первых, на внутренний адрес ответ никаким другим путём прийти не может. Во-вторых, пакет на адрес 10.128.0.1 будет по любому отправлен через 10.128.0.6, они ведь в одной подсети. В-третьих, если бы имела место проблема с маршрутизацией, она бы одинаково влияла на хождение пингов в обоих направлениях.
Вот тут соглашусь. Не исключено, что проблемы с FTP и с пингом вообще между собой не связаны. Например настройки винды могут запрещать ответ на пинги извне, а для FTP не хватает проброса портов пассивного режима.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Проброс портов для openvpn
я не уверен, что понял этот комментарий.Bizdelnick писал: ↑02.07.2018 10:38Во-первых, на внутренний адрес ответ никаким другим путём прийти не может. Во-вторых, пакет на адрес 10.128.0.1 будет по любому отправлен через 10.128.0.6, они ведь в одной подсети. В-третьих, если бы имела место проблема с маршрутизацией, она бы одинаково влияла на хождение пингов в обоих направлениях.
схема такая: 2 хоста в Инете с публичными ИП, сервер фтп находится за роутером, впн между сервером фтп и другим хостом в инете с адресом 45.45. Когда на этот 45 приходит пакет, то проброс портов меняет ему назначение на адрес фтп сервера (адрес клиента, пославшего пакет остается) и этот пакет идет через впн и попадает на фтп сервер, у которого свой шлюз, через который идет ответ клиенту (а не через 45.45 куда пришел изначальный пакет).
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Проброс портов для openvpn
Это всё в принципе не может работать, если нет связи между хостами в VPN (10.128.0.1 и 10.128.0.6).nerve писал(а): ↑02.07.2018 11:45схема такая: 2 хоста в Инете с публичными ИП, сервер фтп находится за роутером, впн между сервером фтп и другим хостом в инете с адресом 45.45. Когда на этот 45 приходит пакет, то проброс портов меняет ему назначение на адрес фтп сервера (адрес клиента, пославшего пакет остается) и этот пакет идет через впн и попадает на фтп сервер, у которого свой шлюз, через который идет ответ клиенту (а не через 45.45 куда пришел изначальный пакет).
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |