Jump to content
  • 0

Помогите настроить port forwarding


fps
 Share

Question

Не получается пробросить порт в PPTP VPN.

Нарисовал схему для наглядности.

Трансляция 1 работает. Трансляции 2 и 3 - нет. Все указанные адреса с кинетика пингуются, tcp порты доступны.

Конфиг VPN (в CLI ничего не правил, настраивал только через веб-интерфейс):

vpn-server
    interface Home
    pool-range 192.168.1.240 10
    static-ip camp 192.168.1.244
    mppe-optional
    lcp echo 20 6
    lockout-policy 3 30 5

z1.png

z2.png

z3.png

 

  • Model Ultra (KN-1810) RU
  • OS version 3.8.4
Edited by fps
Link to comment
Share on other sites

Recommended Posts

  • 0

Зачем вообще вы используете проброс портов? У вас используется vpn там вы уже имеете доступ к сети сервера с клиента, вам просто еще необходимо добавить маршрут на сервере vpn заворачивающий пакеты и в обратную сторону. 

Пример  написания маршрута ниже 

https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN#:~:text=На странице "Маршрутизация" нажмите ",находится на стороне VPN-клиента.

  • Upvote 1
Link to comment
Share on other sites

  • 0

PPTP VPN - локальный, в него нет доступа из интернета. И вот чтобы попасть в него снаружи, по белому адресу и использую проброс портов.

Link to comment
Share on other sites

  • 0
27 минут назад, fps сказал:

PPTP VPN - локальный, в него нет доступа из интернета.

Есть предложение сделать всё как по ссылке выше, чтоб VPN не являл собой какой-то локальный изврат.

Link to comment
Share on other sites

  • 0
Posted (edited)
31 minutes ago, ANDYBOND said:

Есть предложение сделать всё как по ссылке выше, чтоб VPN не являл собой какой-то локальный изврат.

Я почитал ваши ссылки. Это несколько про другое. Там описано как связать с помощью впн 2 частные сети. С этим у меня проблем нет - сети связаны и работают. Доступность между ними есть, тут никаких проблем.

Мой вопрос про доступ в этот VPN из интернет. Внутри VPN на "комп2:8080" у меня поднят веб-сервер. Нужно дать соединиться  него из интернета по адресу вида http://me.dyndns.info:3080/

Для "комп1" такое работает. А вот на устройство в VPN почему-то проброс порта не срабатывет. Причем не только на "комп2" но и на "IRZ", по адресу который прямо в HOME локальной сети (см. схему выше)

Edited by fps
Link to comment
Share on other sites

  • 0
10 минут назад, fps сказал:

VPN

Так создайте правила проброса портов не на провайдерском, а на впнном интерфейсе.

Link to comment
Share on other sites

  • 0
13 minutes ago, ANDYBOND said:

Это как раз о внешних связях.

Это о связях между сетями внутри VPN. С этим проблем нет. Внутри впн связность между её сетями есть.  У меня вопрос о доступе туда снаружи.

18 minutes ago, ANDYBOND said:

Так создайте правила проброса портов не на провайдерском, а на впнном интерфейсе.

1. Почему? Мне же надо именно из провайдерского интерфейса доступ обеспечить. Для "комп1" я прописал правило именно с провайдерского интерфейса и всё работает - доступ из интернет на порт внутри локальной сети есть.

2. Как такое правило сделать? При настройке Port Forwarding в селекторе Input нет интерфейса VPN.

Link to comment
Share on other sites

  • 0

Чёт я не пойму. У меня сервер WG на KN-1010, к нему цепляются другие клиенты (роутеры). Связность со всеми есть через центр (топология звезда). Если я к KN-1010 подцеплюсь через впн, то у меня есть доступ до любого хоста за роутером-клиентом!

Edited by stefbarinov
Link to comment
Share on other sites

  • 0
32 минуты назад, fps сказал:

Как такое правило сделать? При настройке Port Forwarding в селекторе Input нет интерфейса VPN.

Само правило создаётся для входящих на интерфейсе нужного VPN. Но, да, VPN для этого должен иметь право использования для выхода в Интернет.

Link to comment
Share on other sites

  • 0
19 минут назад, stefbarinov сказал:

Чёт я не пойму.

А что неясного? Человек уверовал, что сначала нужно открыть порты для ISP, и только потом для ещё и интересующего интерфейса. Равно как многое в процессе просто перепутал, ибо статьи читал, если читал, по диагонали.

Link to comment
Share on other sites

  • 0
Posted (edited)
9 minutes ago, ANDYBOND said:

сначала нужно открыть порты для ISP, и только потом для ещё и интересующего интерфейса

Порты не закрыты. С самого кинетика на 192.168.1.244:8080 соединение успешно устанавливается. А с интерфейса ISP - нет. Хотя траннсляция прописана. Почему?

 

Edited by fps
Link to comment
Share on other sites

  • 0
1 минуту назад, fps сказал:

С самого кинетика

По локалке.

1 минуту назад, fps сказал:

Хотя траннсляция прописана. Почему?

Неправильно прописано. Видимо, перепутаны входящий и исходящий трафик.

Link to comment
Share on other sites

  • 0
3 минуты назад, fps сказал:

Порты не закрыты.

Значит, сделайте нормальные статические маршруты, как описано в статьях выше.

Link to comment
Share on other sites

  • 0
8 minutes ago, ANDYBOND said:

сделайте нормальные статические маршруты, как описано в статьях выше.

Но ведь адрес 192.168.1.244 находится в той же IP сети что и LAN интерфейс кинетика 192.168.1.1/24.

Можете написать маршрут которого не хватает? (схема в первом сообщении)

Link to comment
Share on other sites

  • 0

Там написано и показано то, как можно отрегулировать доступ между сегментами. https://help.keenetic.com/hc/ru/articles/360005236300-Сегменты-сети

3 минуты назад, fps сказал:

Но ведь адрес 192.168.1.244 находится в той же IP сети что и LAN интерфейс кинетика 192.168.1.1/24.

 

17 минут назад, fps сказал:

А с интерфейса ISP - нет.

А какой у него адрес?

Ещё раз предлагаю Вам осмыслить свою же схему и сделать выводы.

Link to comment
Share on other sites

  • 0
4 minutes ago, ANDYBOND said:

А какой у него адрес?

Белый. Скажем 1.1.1.1

А у LAN интерфейса кинетика 192.168.1.1/24

Какой и куда маршрут вы предлагаете прописать?

Link to comment
Share on other sites

  • 0
Posted (edited)
21 minutes ago, ANDYBOND said:

См. статьи выше.

Спасибо. Я смотрел. Как я понял, там про другое.

Вы, я так понял, разбираетесь в вопросе. Ткните носом в кокретный абзац там по моей проблеме.

Или (лучше) подскажите конкретно - всю информацию по схеме и проблеме я выложил в первом сообщении. Если там чего-то недостаточно, скажите - добавлю.

 

На мой взгляд, проблема в прошивке кинетика.

Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети. Но почему-то отличается.

Возможно я ошибаюсь.

 

Edited by fps
Link to comment
Share on other sites

  • 0
2 hours ago, fps said:

Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети

Отличие всё-таки есть, оказывается.

Когда из интерфейса ISP приходит пакет для трансляции 1, кинетик меняет у него дестинейшн адрес+порт, согласно правилу трансляции, пакет приходит на комп1. У комп1 шлюз по умолчанию - кинетик, комп1 отправляет ответ, он уходит в кинетик, тот его натит обратно. Всё работает.

А после трансляции 2, пакет приходит на IRZ. Но у него шлюз по умолчанию свой, а не VPN, и ответ уходит в интернет а не в кинетик. И ничего не работает.

Делать дефолт в VPN там нельзя. Остается видимо попытаться делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

Link to comment
Share on other sites

  • 0
19 minutes ago, fps said:

делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

Ничо не понял )

Вернее не нашел ответа про свой случай.

Исходная проблема сводится к вопросу: как мне изменить команду:

ip static tcp L2TP0 3080 192.168.1.244 8080

чтобы кроме DNAT выполнялась трансляция адреса источника (SNAT)

Link to comment
Share on other sites

  • 0
1 час назад, fps сказал:

А после трансляции 2, пакет приходит на IRZ. Но у него шлюз по умолчанию свой, а не VPN, и ответ уходит в интернет а не в кинетик. И ничего не работает.

Делать дефолт в VPN там нельзя. Остается видимо попытаться делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

А Вы захватывали трафик на IRZ, убеждались что до него доходят проброшенные пакеты от домашнего кинетика? А то я сходу не готов утверждать, что по умолчанию там разрешен форвард из wan к vpn-клиенту. Для начала, чтобы исключить этот момент неплохо бы создать на wan интерфейсе (в вашем случае beeline l2tp) правило в межсетевом экране. Оно должно разрешать tcp пакеты на адрес назначения 192.168.1.244 на порт 8080 (именно на него а не 3080). После этого пакеты точно смогут доходить до IRZ. Далее по поводу nat. Вы правильно рассудили, что IRZ ответы будет слать по дефолтному маршруту, а не в туннель. Чтобы обойти этот момент предлагаю сделать финт ушами и на IRZ также сделать пробросы. И на самого себя, на ip на внутреннем интерфейсе 192.168.2.1 и на комп2 192.168.2.20. Тогда ответы от IRZ автоматически будут подвергаться обратной трансляции и уходить именно в туннель 

Link to comment
Share on other sites

  • 0
2 hours ago, werldmgn said:

А Вы захватывали трафик на IRZ, убеждались что до него доходят проброшенные пакеты

Смотрел tcpdump-ом - доходят. Соурс адрес пакетов - белый, исходный.

 

2 hours ago, werldmgn said:

Чтобы обойти этот момент предлагаю сделать финт ушами

Спасибо. Попробую.

Link to comment
Share on other sites

  • 0
3 hours ago, werldmgn said:

сделать финт ушами и на IRZ также сделать пробросы. И на самого себя, на ip на внутреннем интерфейсе 192.168.2.1

На кинетике настроил трансляцию

ip static tcp L2TP0 3080 192.168.1.244

На IRZ тожеiRZ.thumb.png.91106b7287c8176b7ac95c9544a1ff33.png

Не помогло.

Входящие пакеты на IRZ вижу, но tcp соединение не устанавливается.

root@RL01w:~#tcpdump -i pptp -p tcp port 3080
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pptp, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
22:21:04 IP client.yota.ru.4230 > 192.168.1.244.3080: Flags [S], seq 1433111635, win 8192, options [mss 1310,nop,wscale 8,nop,nop,sackOK], length 0

 

Link to comment
Share on other sites

  • 0
19 минут назад, fps сказал:

На кинетике настроил трансляцию

ip static tcp L2TP0 3080 192.168.1.244

На IRZ тоже

Во-первых, на кинетике кроме изначальных трех пробросов портов, больше никаких трансляций делать не нужно. Во-вторых вы на IRZ строите какое-то не то правило проброса. Почему src ip 192.168.1.244? У вас src не меняется на всем пути пакета и равен белому ip с которого вы идете стучитесь на порты кинетика. Правило на IRZ должно пробрасывать, то есть осуществлять dnat tcp dst addr 192.168.1.244 port 8080 to dst ip 192.168.2.1 port 8080

Link to comment
Share on other sites

  • 0
17 minutes ago, werldmgn said:

на кинетике кроме изначальных трех пробросов портов, больше никаких трансляций делать не нужно.

Поскольку добавляется трансляция на IRZ я исправил dst порт в существующем правиле (было 3080 -> 8080 стало 3080 -> 3080). Да, можно было не делать.

21 minutes ago, werldmgn said:

dnat tcp dst addr 192.168.1.244 port 8080 to dst ip 192.168.2.1 port 8080

В веб админке там добавление таких трансляций не предусмотрено. Не знаете как такое прописать в CLI OpenWrt?

Link to comment
Share on other sites

  • 0
21 минуту назад, fps сказал:

Не знаете как такое прописать в CLI OpenWrt?

Без понятия.

Приведите скриншот окна настройки проброса портов, которое умеет этот IRZ, очень странно чтобы он не умел классический dnat проброс портов

Link to comment
Share on other sites

  • 0
1 hour ago, werldmgn said:

Приведите скриншот окна настройки проброса портов, которое умеет этот IRZ

Вот же. Вроде совершенно классическая форма.

Link to comment
Share on other sites

  • 0

Я ещё раз обдумал вашу задачу и понял, что предложенный мной "финт" тут никак не поможет. 😐 Он никак не изменит факта, что адрес источника не меняется на всем пути пакета до IRZ и, соответственно, ответ будет отправлен по маршруту по умолчанию. Если белый ip адрес, с которого вы подключаетесь извне к кинетику, не меняется, то можно прописать до него маршрут через ВПН подключение на IRZ.

Edited by werldmgn
Link to comment
Share on other sites

  • 0
Posted (edited)
6 hours ago, werldmgn said:

можно прописать до него маршрут через ВПН подключение на IRZ

Да. Если на IRZ прописать маршрут до клиента в pptp интерфейс, то всё работает. Для проверки идеи это годится. Но реальный адрес клиента произвольный.

6 hours ago, werldmgn said:

адрес источника не меняется на всем пути пакета до IRZ

Но ведь кинетик в принципе умеет его менять. Просто из документации совершенно непонятно как это настроить.

Второй вариант - попробовать настроить PBR на IRZ. Хотя на мой взгляд настроить SNAT на кинетике было бы правильнее.

Пробовал вот так. Не помогает. tcpdump на IRZ показывает, что адрес источника остается исходным.

ip static tcp L2TP0 3080 192.168.1.244 8080
ip static 192.168.1.244 255.255.255.255 192.168.1.1
Edited by fps
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...