1 Temat przez greenwitch (edytowany przez greenwitch 2016-06-28 09:50:29)

  • Zarejestrowany: 2013-03-26
  • Posty: 36

Temat: openvpn na CC - problem z przekierowaniem portow do hosta

Hej,

Mam taki problem:
Chciałem na komputerze wystawić sobie port na świat. W związku z tym, że mam wewnętrzne IP pomyślałem, że zestawie tunel openvpn do swojego routera w innej lokalizacji gdzie mam wyjście na świat i tam skonfiguruje przekierowanie portu do Lan;u.
Konfiguracja jest taka, że całość chodzi na tap (warstwa 2). Interfejs tap oczywiście dodany do bridge'a lan.
Wewnątrz LAN'u, nie ważne czy przez innego hosta po openvpn, czy po sieci lokalnej mam połączenie z tym portem, natomiast po skonfigurowania przekierowania z wan na lan nie śmiga:
http://i.imgur.com/s7ry8Ch.png
Oczywiście przekierowania do hostów bezpośrednio podłączonych do routera działają bezproblemowo.
Ewidentnie firewall na routerze odrzuca połączenie. Ma ktoś pomysł dlaczego?
Sprawdziłem na wiresharku, pakiety nie dochodzą do hosta.

Ma ktoś pomysł jak skonfigurować FW na routerze - serwerze OpenVPN by pakiety przechodziły?

Adam

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

pokaż uci show firewall & uci show network. I nie pokazuj obrazków z luci to one nie dają informacji o wszystkim.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez greenwitch

  • Zarejestrowany: 2013-03-26
  • Posty: 36

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

proszę:
root@Rajska:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@defaults[0].drop_invalid='1'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fe80::/10'
firewall.@rule[3].src_port='547'
firewall.@rule[3].dest_ip='fe80::/10'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[3].enabled='0'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[4].enabled='0'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[5].enabled='0'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@rule[6].enabled='0'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@rule[7]=rule
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
<ciach>
firewall.@rule[9]=rule
firewall.@rule[9].target='ACCEPT'
firewall.@rule[9].src='wan'
firewall.@rule[9].proto='tcp'
firewall.@rule[9].dest_port='8081'
firewall.@rule[9].name='mjpg streamer'
firewall.@redirect[8]=redirect
firewall.@redirect[8].target='DNAT'
firewall.@redirect[8].src='wan'
firewall.@redirect[8].dest='lan'
firewall.@redirect[8].proto='tcp'
firewall.@redirect[8].src_dport='670'
firewall.@redirect[8].dest_ip='192.168.54.28'
firewall.@redirect[8].dest_port='667'
firewall.@redirect[8].name='Transmission Kabacki Dukt'
firewall.@redirect[9]=redirect
firewall.@redirect[9].enabled='1'
firewall.@redirect[9].target='DNAT'
firewall.@redirect[9].src='wan'
firewall.@redirect[9].dest='lan'
firewall.@redirect[9].proto='tcp'
firewall.@redirect[9].src_dport='671'
firewall.@redirect[9].dest_ip='192.168.54.28'
firewall.@redirect[9].dest_port='5900'
firewall.@redirect[9].name='vnc test'
firewall.@rule[10]=rule
firewall.@rule[10].target='ACCEPT'
firewall.@rule[10].src='wan'
firewall.@rule[10].proto='tcp'
firewall.@rule[10].dest_port='671'
firewall.@rule[10].name='xbmc vnx'
root@Rajska:~# uci show network
network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd04:6541:748a::/48'
network.lan=interface
network.lan.force_link='1'
network.lan.type='bridge'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.lan.ipaddr='192.168.54.254'
network.lan.delegate='0'
network.lan._orig_ifname='eth0.1 radio0.network1'
network.lan._orig_bridge='true'
network.lan.ifname='eth0.1 tap0'
network.wan=interface
network.wan.ifname='eth0.2'
network.wan.proto='dhcp'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='1 2 3 4 5t'
network.@switch_vlan[1]=switch_vlan
network.@switch_vlan[1].device='switch0'
network.@switch_vlan[1].vlan='2'
network.@switch_vlan[1].ports='0 5t'
network.@route[0]=route
network.@route[0].interface='lan'
network.@route[0].target='192.168.1.0'
network.@route[0].gateway='192.168.54.21'
network.@route[0].metric='1'
network.@route[0].mtu='1500'
network.@route[0].netmask='255.255.255.192'
network.@route[1]=route
network.@route[1].interface='lan'
network.@route[1].target='192.168.0.15'
network.@route[1].netmask='255.255.255.255'
network.@route[1].gateway='192.168.54.28'
network.@route[1].metric='1'
network.@route[1].mtu='1500'

Adam

4 Odpowiedź przez khain (edytowany przez khain 2016-06-29 09:55:39)

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

firewall.@redirect[8].dest='lan'

Adres 192.168.54.28 nie znajduje się w lan tylko w tap0 i pewnie w tym jest problem.

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7

5 Odpowiedź przez greenwitch

  • Zarejestrowany: 2013-03-26
  • Posty: 36

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

Hej,

tap0 jest dodany do bridge lan.
network.lan.ifname='eth0.1 tap0'
To nie to :-(

Adam

6 Odpowiedź przez advcron (edytowany przez advcron 2016-06-29 12:36:55)

  • Zarejestrowany: 2012-10-15
  • Posty: 129

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

A czy nie jest tak, żę o ile połączenie przez dajmy na to router firmowy dociera do twojego routera, ale już odpowiedź nie idzie w tunel tylko na domyślną bramę? Jakie masz adresy źródłowe pakietów? Pokaż log z tcpdump.
Wydaje mi się że musisz zrobić snat pakietów wchodzących w  tunel.  Czyli na routerze firmowym

7 Odpowiedź przez greenwitch

  • Zarejestrowany: 2013-03-26
  • Posty: 36

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

Hej,

Sprawdziłem na hoście wiresharkiem. Nie dochodzą do niego w ogóle pakiety kiedy zapytanie pochodzi z wanu. Natomiast jak najbardziej dochodzą, gdy zapytanie jest z Lan.


Adam

8 Odpowiedź przez advcron

  • Zarejestrowany: 2012-10-15
  • Posty: 129

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

Czy dobrze rozumiem. Router z prywatnym ip nawiązuje połączenie vpn do routera z publiczny,m ip?
I chcesz przez takie coś chcesz wystawić na świat usługę która jest w twojej sieci z adresem niepublicznym?

9 Odpowiedź przez greenwitch

  • Zarejestrowany: 2013-03-26
  • Posty: 36

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

Dokładnie to chce zrobić!

Adam

10 Odpowiedź przez advcron (edytowany przez advcron 2016-06-30 13:56:09)

  • Zarejestrowany: 2012-10-15
  • Posty: 129

Odp: openvpn na CC - problem z przekierowaniem portow do hosta

Zobacz czy pakiety w ogóle wychodzą z tunelu. Puść tcpdump na routerze bez publicznego ip.
Możesz to samo zrobić na routerze z publicznym ip, aby być pewnym że pakiety wchodzą w tunel  i tym samym upewnić się, że  dnat i routing jest ok.