Помогите настроить port forwarding

[fps]

Не получается пробросить порт в PPTP VPN.

Нарисовал схему для наглядности.

Трансляция 1 работает. Трансляции 2 и 3 - нет. Все указанные адреса с кинетика пингуются, tcp порты доступны.

Конфиг VPN (в CLI ничего не правил, настраивал только через веб-интерфейс):

vpn-server
    interface Home
    pool-range 192.168.1.240 10
    static-ip camp 192.168.1.244
    mppe-optional
    lcp echo 20 6
    lockout-policy 3 30 5

 

• Model Ultra (KN-1810) RU
• OS version 3.8.4

Edited August 29, 2022 by fps

[Monstr86]

Зачем вообще вы используете проброс портов? У вас используется vpn там вы уже имеете доступ к сети сервера с клиента, вам просто еще необходимо добавить маршрут на сервере vpn заворачивающий пакеты и в обратную сторону. 

Пример  написания маршрута ниже 

https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN#:~:text=На странице "Маршрутизация" нажмите ",находится на стороне VPN-клиента.

[fps]

PPTP VPN - локальный, в него нет доступа из интернета. И вот чтобы попасть в него снаружи, по белому адресу и использую проброс портов.

[fps]

31 minutes ago, ANDYBOND said:

Есть предложение сделать всё как по ссылке выше, чтоб VPN не являл собой какой-то локальный изврат.

Я почитал ваши ссылки. Это несколько про другое. Там описано как связать с помощью впн 2 частные сети. С этим у меня проблем нет - сети связаны и работают. Доступность между ними есть, тут никаких проблем.

Мой вопрос про доступ в этот VPN из интернет. Внутри VPN на "комп2:8080" у меня поднят веб-сервер. Нужно дать соединиться  него из интернета по адресу вида http://me.dyndns.info:3080/

Для "комп1" такое работает. А вот на устройство в VPN почему-то проброс порта не срабатывет. Причем не только на "комп2" но и на "IRZ", по адресу который прямо в HOME локальной сети (см. схему выше)

Edited August 29, 2022 by fps

[fps]

13 minutes ago, ANDYBOND said:

Это как раз о внешних связях.

Это о связях между сетями внутри VPN. С этим проблем нет. Внутри впн связность между её сетями есть.  У меня вопрос о доступе туда снаружи.

18 minutes ago, ANDYBOND said:

Так создайте правила проброса портов не на провайдерском, а на впнном интерфейсе.

1. Почему? Мне же надо именно из провайдерского интерфейса доступ обеспечить. Для "комп1" я прописал правило именно с провайдерского интерфейса и всё работает - доступ из интернет на порт внутри локальной сети есть.

2. Как такое правило сделать? При настройке Port Forwarding в селекторе Input нет интерфейса VPN.

[stefbarinov]

Чёт я не пойму. У меня сервер WG на KN-1010, к нему цепляются другие клиенты (роутеры). Связность со всеми есть через центр (топология звезда). Если я к KN-1010 подцеплюсь через впн, то у меня есть доступ до любого хоста за роутером-клиентом!

Edited August 29, 2022 by stefbarinov

[fps]

9 minutes ago, ANDYBOND said:

сначала нужно открыть порты для ISP, и только потом для ещё и интересующего интерфейса

Порты не закрыты. С самого кинетика на 192.168.1.244:8080 соединение успешно устанавливается. А с интерфейса ISP - нет. Хотя траннсляция прописана. Почему?

 

Edited August 29, 2022 by fps

[fps]

8 minutes ago, ANDYBOND said:

сделайте нормальные статические маршруты, как описано в статьях выше.

Но ведь адрес 192.168.1.244 находится в той же IP сети что и LAN интерфейс кинетика 192.168.1.1/24.

Можете написать маршрут которого не хватает? (схема в первом сообщении)

[fps]

4 minutes ago, ANDYBOND said:

А какой у него адрес?

Белый. Скажем 1.1.1.1

А у LAN интерфейса кинетика 192.168.1.1/24

Какой и куда маршрут вы предлагаете прописать?

[fps]

21 minutes ago, ANDYBOND said:

См. статьи выше.

Спасибо. Я смотрел. Как я понял, там про другое.

Вы, я так понял, разбираетесь в вопросе. Ткните носом в кокретный абзац там по моей проблеме.

Или (лучше) подскажите конкретно - всю информацию по схеме и проблеме я выложил в первом сообщении. Если там чего-то недостаточно, скажите - добавлю.

 

На мой взгляд, проблема в прошивке кинетика.

Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети. Но почему-то отличается.

Возможно я ошибаюсь.

 

Edited August 29, 2022 by fps

[fps]

2 hours ago, fps said:

Т.к. для него трансляция на адрес .244 в моей схеме не должна отличаться от трансляции на .10 или любой другой адрес в той же сети

Отличие всё-таки есть, оказывается.

Когда из интерфейса ISP приходит пакет для трансляции 1, кинетик меняет у него дестинейшн адрес+порт, согласно правилу трансляции, пакет приходит на комп1. У комп1 шлюз по умолчанию - кинетик, комп1 отправляет ответ, он уходит в кинетик, тот его натит обратно. Всё работает.

А после трансляции 2, пакет приходит на IRZ. Но у него шлюз по умолчанию свой, а не VPN, и ответ уходит в интернет а не в кинетик. И ничего не работает.

Делать дефолт в VPN там нельзя. Остается видимо попытаться делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

[fps]

19 minutes ago, fps said:

делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

Ничо не понял )

Вернее не нашел ответа про свой случай.

Исходная проблема сводится к вопросу: как мне изменить команду:

ip static tcp L2TP0 3080 192.168.1.244 8080

чтобы кроме DNAT выполнялась трансляция адреса источника (SNAT)

[Werld]

1 час назад, fps сказал:

А после трансляции 2, пакет приходит на IRZ. Но у него шлюз по умолчанию свой, а не VPN, и ответ уходит в интернет а не в кинетик. И ничего не работает.

Делать дефолт в VPN там нельзя. Остается видимо попытаться делать NAT не только для дестинейшн адреса но и сорс адреса. Читаю как.

А Вы захватывали трафик на IRZ, убеждались что до него доходят проброшенные пакеты от домашнего кинетика? А то я сходу не готов утверждать, что по умолчанию там разрешен форвард из wan к vpn-клиенту. Для начала, чтобы исключить этот момент неплохо бы создать на wan интерфейсе (в вашем случае beeline l2tp) правило в межсетевом экране. Оно должно разрешать tcp пакеты на адрес назначения 192.168.1.244 на порт 8080 (именно на него а не 3080). После этого пакеты точно смогут доходить до IRZ. Далее по поводу nat. Вы правильно рассудили, что IRZ ответы будет слать по дефолтному маршруту, а не в туннель. Чтобы обойти этот момент предлагаю сделать финт ушами и на IRZ также сделать пробросы. И на самого себя, на ip на внутреннем интерфейсе 192.168.2.1 и на комп2 192.168.2.20. Тогда ответы от IRZ автоматически будут подвергаться обратной трансляции и уходить именно в туннель 

[fps]

2 hours ago, werldmgn said:

А Вы захватывали трафик на IRZ, убеждались что до него доходят проброшенные пакеты

Смотрел tcpdump-ом - доходят. Соурс адрес пакетов - белый, исходный.

 

2 hours ago, werldmgn said:

Чтобы обойти этот момент предлагаю сделать финт ушами

Спасибо. Попробую.

[fps]

3 hours ago, werldmgn said:

сделать финт ушами и на IRZ также сделать пробросы. И на самого себя, на ip на внутреннем интерфейсе 192.168.2.1

На кинетике настроил трансляцию

ip static tcp L2TP0 3080 192.168.1.244

На IRZ тоже

Не помогло.

Входящие пакеты на IRZ вижу, но tcp соединение не устанавливается.

root@RL01w:~#tcpdump -i pptp -p tcp port 3080
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pptp, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
22:21:04 IP client.yota.ru.4230 > 192.168.1.244.3080: Flags [S], seq 1433111635, win 8192, options [mss 1310,nop,wscale 8,nop,nop,sackOK], length 0

 

[Werld]

19 минут назад, fps сказал:

На кинетике настроил трансляцию

ip static tcp L2TP0 3080 192.168.1.244

На IRZ тоже

Во-первых, на кинетике кроме изначальных трех пробросов портов, больше никаких трансляций делать не нужно. Во-вторых вы на IRZ строите какое-то не то правило проброса. Почему src ip 192.168.1.244? У вас src не меняется на всем пути пакета и равен белому ip с которого вы идете стучитесь на порты кинетика. Правило на IRZ должно пробрасывать, то есть осуществлять dnat tcp dst addr 192.168.1.244 port 8080 to dst ip 192.168.2.1 port 8080

[fps]

17 minutes ago, werldmgn said:

на кинетике кроме изначальных трех пробросов портов, больше никаких трансляций делать не нужно.

Поскольку добавляется трансляция на IRZ я исправил dst порт в существующем правиле (было 3080 -> 8080 стало 3080 -> 3080). Да, можно было не делать.

21 minutes ago, werldmgn said:

dnat tcp dst addr 192.168.1.244 port 8080 to dst ip 192.168.2.1 port 8080

В веб админке там добавление таких трансляций не предусмотрено. Не знаете как такое прописать в CLI OpenWrt?

[Werld]

21 минуту назад, fps сказал:

Не знаете как такое прописать в CLI OpenWrt?

Без понятия.

Приведите скриншот окна настройки проброса портов, которое умеет этот IRZ, очень странно чтобы он не умел классический dnat проброс портов

[fps]

1 hour ago, werldmgn said:

Приведите скриншот окна настройки проброса портов, которое умеет этот IRZ

Вот же. Вроде совершенно классическая форма.

[Werld]

Я ещё раз обдумал вашу задачу и понял, что предложенный мной "финт" тут никак не поможет. 😐 Он никак не изменит факта, что адрес источника не меняется на всем пути пакета до IRZ и, соответственно, ответ будет отправлен по маршруту по умолчанию. Если белый ip адрес, с которого вы подключаетесь извне к кинетику, не меняется, то можно прописать до него маршрут через ВПН подключение на IRZ.

Edited August 29, 2022 by werldmgn

[fps]

6 hours ago, werldmgn said:

можно прописать до него маршрут через ВПН подключение на IRZ

Да. Если на IRZ прописать маршрут до клиента в pptp интерфейс, то всё работает. Для проверки идеи это годится. Но реальный адрес клиента произвольный.

6 hours ago, werldmgn said:

адрес источника не меняется на всем пути пакета до IRZ

Но ведь кинетик в принципе умеет его менять. Просто из документации совершенно непонятно как это настроить.

Второй вариант - попробовать настроить PBR на IRZ. Хотя на мой взгляд настроить SNAT на кинетике было бы правильнее.

Пробовал вот так. Не помогает. tcpdump на IRZ показывает, что адрес источника остается исходным.

ip static tcp L2TP0 3080 192.168.1.244 8080
ip static 192.168.1.244 255.255.255.255 192.168.1.1

Edited August 30, 2022 by fps

[Werld]

3 часа назад, fps сказал:

Но ведь кинетик в принципе умеет его менять. Просто из документации совершенно непонятно как это настроить.

В том и дело, казалось бы там под капотом netfilter с его обширными возможностями, но keenetic os представляет нам лишь два инструмента ip nat  и ip static. Ни тот ни другой нужный вам snat соорудить похоже не даст, по крайней мере, я не придумал как. Попробуйте пообщаться с техподдержкой. Если не помогут с правилом, то хотя бы занесут ваш голос в копилку недовольных текущей реализацией управления nat'ом. 

[fps]

33 minutes ago, werldmgn said:

Попробуйте пообщаться с техподдержкой.

Я думал они этот форум тоже читают.

Призываю в тему техподдержку Keenetic! 🙌

[Mamay]

15 минут назад, fps сказал:

Я думал они этот форум тоже читают.

Призываю в тему техподдержку Keenetic! 🙌

Совершенно бесполезное дело - призывать на комьюнити форум официальную техническую поддержку. Абсолютно! Они здесь не бывают от слова совсем.

Вам, как тому Магомеду, придётся самому идти к горе