1

Temat: Przekierowanie portów do podsieci

Schemat sieci:

Router 1 --------- Serwer VPN  - - - - - - - - - - Router 2
     |                                                                 |
     |                                                                 |
Internet-----------------------------------------------


Adresacja:
Router 1:
publiczne IP
lan: 192.168.1.0/24
adres: 192.168.1.1

Serwer VPN:
lan: 192.168.1.10
vpn: 10.2.0.0/24

Router 2:
brak publicznego IP
lan: 192.168.32.0/24
adres: 192.168.32.1
vpn: 10.2.0.1

Dodane trasy
router 1: do 192.168.32.0/24 przez 192.168.1.10
serwer vpn: do 192.168.32.0/24 przez interfejs tunelowy, do 192.168.1.0/24 przez interfejs "normalny"
router 2: do 10.2.0.0/24 przez interfejs tunelowy, do 192.168.32.0/24 przez interfejs tunelowy


Jak w takiej konfiguracji zrobić przekierowanie portów z routera 1 na router 2?

Dodanie na router 1:
config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'lan'
        option proto 'tcp'
        option src_dport '8888'
        option dest_port '8888'
        option dest_ip '192.168.32.1'
        option name 'test'
i na router 2:
config rule
        option target 'ACCEPT'
        option src 'wan'
        option proto 'tcp udp'
        option dest_port '8888'
        option name 'Random'
nie działa.

Podejrzewam, że powodem są nieprawidłowe src i dest. Nie mam pojęcia jakie nowe zone'y i forwardingi dodać aby zaczęło działać. Pingi z routera 1 na 2 i w drugą stronę latają.

SSH port forwading nie zadowala mnie, ponieważ potrzebuję również UDP.

2

Odp: Przekierowanie portów do podsieci

Nie rozumiem, ani schematu sieci, anie dlaczego chcesz przekierowywać port przez VPN?
Chyba nie masz tak, że serwer VPN ma normalne połączenie LAN z obydwoma routerami?

3

Odp: Przekierowanie portów do podsieci

Serwer VPN nie ma kabla do obu routerów, ale pakiety między 192.168.1.0/24 i 192.168.32.0/24 przechodzą przez niego dzięki tunelowi.

Dlaczego?
Bo router 2 nie za publicznego IP.

4

Odp: Przekierowanie portów do podsieci

Czyli normalna sytuacja.
Polecam lekturę niedawno zaktualizowanego toutoriala na temat OpenVPN Cezarego: http://eko.one.pl/?p=openwrt-openvpntun
Szczególnie rozdział "Dostęp do kamery za klientem"
Jak rozumiem nie chcesz udostępniać klientowi całego LANu jedynie jeden konkretny port?
Pokaż cały /etc/config/firewall
Oczywiście przekierowania masz źle, bo powinieneś je robić pomiędzy  VPN a LAN z obu stron

5

Odp: Przekierowanie portów do podsieci

Tylko u mnie serwer VPN nie jest na routerze a na osobnym urządzeniu.

W /etc/config/network nie ma żadnego interfejsu odnośnie VPN, tylko dodane trasy:
config 'route'
        option 'interface' 'lan'
        option 'target' '10.2.0.0'
        option 'netmask' '255.255.255.0'
        option 'gateway' '192.168.1.10'

config 'route'
        option 'interface' 'lan'
        option 'target' '192.168.32.0'
        option 'netmask' '255.255.255.0'
        option 'gateway' '192.168.1.10'

W firewallu nie ma nic o 192.168.32.0/24.
Nie mogę dodać nowej strefy jak w poradniku bo na routerze nie ma interfejsu od VPN.
/etc/config/firewall:
config defaults
        option syn_flood        1
        option input            ACCEPT
        option output           ACCEPT
        option forward          REJECT
# Uncomment this line to disable ipv6 rules
#       option disable_ipv6     1

config zone
        option name             lan
        list   network          'lan'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT

config zone
        option name             wan
        list   network          'wan'
        list   network          'wan6'
        option input            REJECT
        option output           ACCEPT
        option forward          REJECT
        option masq             1
        option mtu_fix          1

config forwarding
        option src              lan
        option dest             wan

# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
        option name             Allow-DHCP-Renew
        option src              wan
        option proto            udp
        option dest_port        68
        option target           ACCEPT
        option family           ipv4

# Allow IPv4 ping
config rule
        option name             Allow-Ping
        option src              wan
        option proto            icmp
        option icmp_type        echo-request
        option family           ipv4
        option target           ACCEPT

config rule
        option name             Allow-IGMP
        option src              wan
        option proto            igmp
        option family           ipv4
        option target           ACCEPT

# Allow DHCPv6 replies
# see https://dev.openwrt.org/ticket/10381
config rule
        option name             Allow-DHCPv6
        option src              wan
        option proto            udp
        option src_ip           fc00::/6
        option dest_ip          fc00::/6
        option dest_port        546
        option family           ipv6
        option target           ACCEPT

config rule
        option name             Allow-MLD
        option src              wan
        option proto            icmp
        option src_ip           fe80::/10
        list icmp_type          '130/0'
        list icmp_type          '131/0'
        list icmp_type          '132/0'
        list icmp_type          '143/0'
        option family           ipv6
        option target           ACCEPT

# Allow essential incoming IPv6 ICMP traffic
config rule
        option name             Allow-ICMPv6-Input
        option src              wan
        option proto    icmp
        list icmp_type          echo-request
        list icmp_type          echo-reply
        list icmp_type          destination-unreachable
        list icmp_type          packet-too-big
        list icmp_type          time-exceeded
        list icmp_type          bad-header
        list icmp_type          unknown-header-type
        list icmp_type          router-solicitation
        list icmp_type          neighbour-solicitation
        list icmp_type          router-advertisement
        list icmp_type          neighbour-advertisement
        option limit            1000/sec
        option family           ipv6
        option target           ACCEPT

# Allow essential forwarded IPv6 ICMP traffic
config rule
        option name             Allow-ICMPv6-Forward
        option src              wan
        option dest             *
        option proto            icmp
        list icmp_type          echo-request
        list icmp_type          echo-reply
        list icmp_type          destination-unreachable
        list icmp_type          packet-too-big
        list icmp_type          time-exceeded
        list icmp_type          bad-header
        list icmp_type          unknown-header-type
        option limit            1000/sec
        option family           ipv6
        option target           ACCEPT

config rule
        option name             Allow-IPSec-ESP
        option src              wan
        option dest             lan
        option proto            esp
        option target           ACCEPT

config rule
        option name             Allow-ISAKMP
        option src              wan
        option dest             lan
        option dest_port        500
        option proto            udp
        option target           ACCEPT

# include a file with users custom iptables rules
config include
        option path /etc/firewall.user
[dalej są przekierowania i otwarcia portów dla urządzeń z sieci 192.168.1.0/24]


Co chcę osiągnąć:
pakiet kierowany na adres publiczny routera 1 przekierować do routera 2 (192.168.32.1). I aby router 2 mógł coś odpowiedzieć.

6

Odp: Przekierowanie portów do podsieci

Sorry zakręciłem się sam trochę. Teraz już wiem o co chodzi.
Powiedz mi tylko czy usługa do której chcesz się dostać jest na routerze1 czy na jego LANie?

7 (edytowany przez tymmej 2018-01-10 17:50:59)

Odp: Przekierowanie portów do podsieci

Na routerze 2

Edit:
mam, zaraz opiszę.

8

Odp: Przekierowanie portów do podsieci

Nowa strefa w firewallu, forwarding między nią a wanem w obie strony i redirect z odpowiednim dest.

Router 1: do firewalla dodać:
config zone
        option name             over_vpn
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT
        option subnet           '192.168.32.0/24'
        option masq             '1'
        option mtu_fix '1'

config forwarding
        option dest 'wan'
        option src 'over_vpn'

config forwarding
        option dest 'over_vpn'
        option src 'wan'

config redirect
        option target 'DNAT'
        option src 'wan'
        option dest 'over_vpn'
        option proto 'tcp udp'
        option dest_ip '192.168.32.1'
        option name 'test'
        option dest_port '2046'
        option src_dport '2046'

Router 2: do firewalla
config zone
        option name             over_vpn
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT
        option subnet           '192.168.1.0/24'
        option masq             '1'
        option mtu_fix '1'

config forwarding
        option dest 'wan'
        option src 'over_vpn'

config forwarding
        option dest 'over_vpn'
        option src 'wan'

config rule
        option target 'ACCEPT'
        option src 'over_vpn'
        option proto 'tcp udp'
        option dest_port '2046'
        option name 'test'