Forum Debian Users Gang

Zrozumiałem z tego, że chodzi o ruch przychodzący do Ciebie na porty 80 i 2000. Z tego, co widzę, każda z usług uruchomiona jest na innym interfejsie (eth0 i eth1), więc mają pewnie dwa różne adresy. Są to adresy prywatne, więc pewnie na routerze masz uruchomiony DNAT. Jeśli to się zgadza, to po prostu na routerze zmień ustawienia DNAT, to co przychodzi na port 80 ma być przepisywane na adres 192.168.1.10, natomiast to, co na port 2000, na ten drugi. Chyba, że źle zrozumiałem Twoją konfigurację lub założenia.

Jaki VPN?

Pytam, bo VPN zawsze wisi na wewnętrznym interfejsie, zazwyczaj jest to interfejs TAP, czoć przy różnych VPnach może mieć różne nazwy, np ipsec0 czy vpn0.
Taki intefejs ma zawsze własny IP.

Więc to już nie routing, ftp i www mogą wisieć na wszystkich interfejsach, a po prostu port 80 wpuszczasz przez eth0 a port ftpa blokujesz na eth0 ale wpuszczasz na interfejsie vpn np ipsec0.
To wystarczy zrobić na firewallu.

Tyle na serwerze.

Jeśli natomiast chcesz się połączyć potem z serwerem ftp przez vpn, to po prostu w programie podajesz adres IP interfejsu vpn na serwerze, na którym słucha serwer ftp.

Jak dodajesz interfejs TAP w systemie, i ustawiasz mu adres IP i maskę, to system powinien automatycznie dodać trasę routingu do sieci wyliczonej z maski, jaką podałeś.
Przynajmniej u mnie tak robi ze wszystkimi interfejsami fizycznymi i wirtualnymi.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-06-26 23:32:45)

Prawdopodobnie nie uda Ci się puścić ruchu przychodzącego przez VPN (chyba, że sam administrujesz połączeniem VPN). Aby było możliwe wpuszczenie ruchu tunelem VPNowym, administrator sieci VPN powinien na swoim adresie publicznym przekierować ruch przychodzący na port 2000 na adres Twojego interfejsu tun0 (czyli ten, który dostaniesz po uruchomieniu tunelu). No chyba, że na interfejsie tun0 masz publiczny adres - wówczas klienci powinni wchodzić przez niego:

xxx.xxx.xxx.xxx:80 - klienci wchodzą na port 80 bezpośrednio
yyy.yyy.yyy.yyy:2000 - klienci wchodzą na port 2000 przez VPN

gdzie:

xxx.xxx.xxx.xxx - adres publiczny Twojego routera (gdzie włączony jest DNAT dla portu 80)
yyy.yyy.yyy.yyy - publiczny adres na interfejsie tun0

Ostatnio edytowany przez jurgensen (2013-06-26 23:45:15)

Jeśli ma publiczny adres, to wystarczy, że klient będzie wchodził po tym adresie i wtedy będzie łączył się przez VPN. Natomiast wchodząc przez Twój adres publiczny (domowy), będzie łączył się bezpośrednio.

To już zależy od tablicy routingu (VPN może ją modyfikować). Zobacz:

ip route

Wpis default wskaże Ci, którym interfejsemy wychodzisz na świat (oczywiście inne wpisy oznaczają, przez co łączysz się do innych hostów). Jeśli chcesz ustawić, aby z VPNem łączyć się przez interfejs eth1, możesz ustawić trasę:

route add yyy.yyy.yyy.yyy gw 192.168.1.1 dev eth1

gdzie yyy.yyy.yyy.yyy to adres Twojej bramy VPN (z którą się łączysz).

Bonding nie jest od tego, bonding ma kilka trybów, ale głównie służy do:
- sumowania prędkości dwóch lub więcej interfejsów sieciowych.
- tworzenia interfejsu typu failover.

Twoje kombinacje z routingiem, bondingiem i podobnymi rzeczami, to próba ubierania gaci przez głowę.

Jak nie potrafisz zablokować portu na firewallu, (a właściwie portu nie otwierać, bo domyślnie powinieneś zamknąć wszystkie porty, a otworzyć tylko wybrane), to ustaw w tym serwerze ftp, które nazwy nie znasz, żeby słuchał na adresie interfejsu tun0, należącym do serwera vpn, którego nazwy też nie znasz, (ale na szczęście tunX to nazwa interfejsu tun z OpenVPN, lepszy  w OpenVPN jest tap, ale to zbyt trudne, żeby to wytłumaczyć komuś, kto nie wie, jaki typ vpn używa).

Możesz też np, również przy pomocy firewalla robić przekierowania DNAT i SNAT między adresami, co jest samo w sobie dosyć idiotycznym pomysłem w przypadku eth1 i tun0, ale jak się ktoś uprze, to proszę bardzo.
Jeśli nie pasuje cel DNAT i SNAT w tablicy nat firewalla, to jest jeszcze pakiet xtables-addons, który dodaje funkcje rawdnat i rawsnat, które to samo robią w tablicy raw firewalla.
Sznurki:
http://jacekalex.sh.dug.net.pl/Iptables-packet-flow.png
http://jacekalex.sh.dug.net.pl/iptables_routing.pdf

VPN - tutaj robi się tunel między klientem  i serwerem, i łączysz się najpierw przez vpn z serwerem,
a dopiero poprzez tunel vpn z serwerem ftp.
Do takiego połączenia używa się klienta vpn, i nie jest to żadna usługa publiczna, tylko prywatna.
Sznurek:
http://pl.wikipedia.org/wiki/Virtual_Private_Network

Poza tym coś nie chce mi się wierzyć, ze masz jakiś serwer, bo już wypróbowałbyś tego, co napisałem w poście 4, i napisał, czy działa, czy nie.

I może wyjaśnił, czy ten routing chcesz ustawić na maszynie, na której działa www i ftp, czy na jakiejś maszynie pośredniczącej między tobą a maszyną z serwerem www i ftp.
Bo moim zdaniem routing i bonding  tam nie mają tam  nic do roboty, bridge prawdopodobnie tez nie.

Może zamiast rysować w kilku postach:

eth0 --> port 80--> NAT -->> wan
vpn0 --> port 2000 --> wan

Z czego właściwie bardzo niewiele wynika, może  narysujesz jakiś schemat tego kawałka sieci, albo opiszesz tak, żeby ktoś to zrozumiał bez litra wódki, zamiast zgadywać, co autor miał na myśli, kiedy napisał, co napisał.


EDIT:
Połączenia z serwera?
W zależności od portu przez eth0 lub tun0?
Routing nie decyduje na podstawie portów, trzeba zrobić dwie tablice routingu różniące się trasą domyślną, a potem oznaczyć odpowiednie pakiety na firewallu, i dodać reguły routingu kierujące pakiety na podstawie FWMARK do określonych tablic.
Jest z tym trochę zabawy, tu masz "książkę kucharską", gdzie pisze, jak to zrobić - niezbędne podstawy:
http://bromirski.net/docs/translations/lartc-pl.html
Tutaj w wersji pdf:
www.przybytek.net/download/2.4routing.pdf‎

A tutaj conieco o trasach routingu, i kierowaniu ich do odpowiednich tablic - łopatologiczny przepis:
http://linux-ip.net/html/adv-multi-internet.html

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2013-06-27 03:29:02)

Ciężko odpowiedzieć w ciemno, bez np. analizy ruchu (najlepiej byłoby sniffować połączenia). Ale wygląda to tak, że po uruchomineniu VPNa, serwer wysyła Ci trasę domyślną przez siebie, czyli cały ruchwychodzący jest kierowany przez VPN (w OpenVPN dyrektywa push "redirect-gateway def1 bypass-dhcp"). Wówczas PC 2 wysyła zapytanie na 85.108.34.xx a dostaj odpowiedź z 95.105.34.xx, którą oczywiście odrzuca. Wskazane byłyby logi z połączenia OpenVPN oraz dump ze sniffera na PC1, PC2 i serwer.
Najprawdopodobniej będziesz musiał poustawiać odpowiednio tablicę routingu (co może być trudne lub niewykonalne, jeśli klienci łączą się z różnych adresów). W tym drugim przypadku, musiałbyś routing oprzeć na portach (policy based routing), co nie jest szczególnie zalecane.

Natomiast w najprostszym przypadku, który opisałeś (jeśli OpenVPN wysyła Ci bramę domyślną) i masz tylko jednego klienta FTP, ze stałym adresem, to najlepiej ustawić na stałe wpisać trasę do 85.108.34.xx/32 przez 192.168.1.1

Ten OpenVPN jest dziwnie dorysowany.

W g tego rysunku, każdy, kto chce po vpn wejść na serwer ftp - musi mieć klienta OpenVPN - połączyć się z routerem, i stamtąd dostać się do ftp:2001, nie czaję wtedy, skąd na serwerze www /ftp interfejs tun0 - skoro jedyny OpenVPN jest na routerze, wystawiony na WAN.

Jeśli natomiast na serwerze www/ftp dorzucisz serwer OpenVPN, to wtedy masz tam tun0, i jak otworzysz port OpenVPN, to z routera można się do niego połączyć przez OpenVPN w trybie client zainstalowany na routerze.
W ten sposób miałbyś dwie końcówki tunelu, jedna wystawiona na świat, druga na serwerze www/ftp.

W ten sposób każdy , kto mógłby wejść na jeden koniec tunelu, mógłby się dostać na drugi koniec.
Tylko z rysunku nie wynika, skąd na serwerze www/ftp bierze się interfejs tun0.


Nie mniej jednak niepotrzebnie skomplikowałeś sprawę.
Ja bym zrobił na vpn interfejsy tap, widać je jak normalne karty sieciowe  (interfejs tun jest tylko do routingu, ma mocno ograniczone mozliwości), potem porobił między końcami tunelu i interfejsami fizycznymi przekierowania przez SNAT&DNAT lub RAWSNAT&RAWDNAT, przekierowanie powinno kierować z adresu OenVPN 95.105.34.xx:2001 na tun0 w serwerze www/ftp czyli 10.4.20.158:2001, a routing w routerze, do sieci 10.4.20.0/8 powinien być kierowany na interfejs OpenVPN, czyli kierować połączenie na port 2001 do vpn - na adres tun0.

Wtedy jedyny klłpot pozostaje z serwerem ftp, ftp używa portów pasywnych, i w ogóle odpalanie serwera ftp na NAT to strzał w stopę z przeciwpancernego.
Także przekierowań  DNAT i maskarad SNAT i FORWARDÓW,  musisz wyrzeźbić całą tonę, ale chcącemu nie dzieje się krzywda. :D
Względnie przekierowania robić po adresach IP, bez rozmieniania się na porty.

Tu masz przykład, jak to się robi:
http://www.linuxforums.org/forum/servers/120890-sol … problems.html

W praktyce jednak, zamiast pierzyć się z ftp przez vpn, użyj ssh bezpośrednio poprzez sshfs lub winscp.
Zaoszczędzisz sobie w ten sposób masę nerwów i straconego czasu.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-06-27 15:40:40)

To  tak, jak pisałem OpenVPN przez tap, i albo na serwerze www/ftp stawiasz OpenVPN, i usługa ftp:2001 wystawiona na adres 0.0.0.0 jest widoczna na końcu tunelu na adresie tapX należącym do do OpenVPN, albo tak jak obecnie, OpenVPN wystawiasz na routerze, a potem z interfejsu  OpenVPN na routerze musisz przekierować połączenia na adres sieci lan, gdzie widać usługę ftp:2001.

Problem polega na tym, że coś niby wyjaśniasz, coś niby rysujesz, ale dalej nie wiadomo, skąd się bierze interfejs tun0 na serwerze www/ftp, skoro jedyny serwer OpenVPN (na rysunku) jest uruchomiony na routerze.

I jak tego nie wytłumaczysz, to prędzej własne uszy w sosie musztardowym zjesz, niż się czegoś dowiesz.
Żadne nakreślanie celu nie pomoże, jak nie ma odpowiedzi na takie proste pytanie.

Pozdro
;-)

Czyli reasumując nie można mieć dostępu do serwerowych usług na dwóch łączach.

Ja zarzadzam tym openvpn https://airvpn.org  to jest uslugodawca.

Dostalem certyfikary i stawiam tunel z serwera do teggo operatora a od operatora dostaje staly adres ip i mozliwosc przekierowania portow.

Nie mam mozliwosci wyboru interfejsu vpn bo on sam powstaje jak uruchomie tunel poleceniem " service openvpn start "

Jak podniose tunel to mam dostep do serwera z adresu ktory operator i przydzielil do mojego konta. I jesli odblokuje port to mam wpeni dostep.

Ale nie mam dostepu przez operatora mojego inernetu VDSL. W sieci lan mam dostep ale juz na zewnatrz nie.

Jak ubije tunel to wszystko warca do normy i mam dostep przez ip ktory dostalem od operatora internetowego.

Ja tunel podnosze na serwerze, te kompy nie maja koncowek tunelu. To sa kompy ktore maja miec dostem do uslug.

Moze byc kazdy ktory bedzie znal adres ip.

root@server1:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:08:9b:c6:3e:51
          inet addr:192.168.1.10  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::208:9bff:fec6:3e51/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:100606 errors:0 dropped:0 overruns:0 frame:0
          TX packets:238568 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:17502945 (16.6 MiB)  TX bytes:264266584 (252.0 MiB)
          Interrupt:19 Memory:feae0000-feb00000

eth1      Link encap:Ethernet  HWaddr 00:08:9b:c6:3e:50
          inet addr:192.168.1.18  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::208:9bff:fec6:3e50/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:42497 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1115 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:6639937 (6.3 MiB)  TX bytes:73268 (71.5 KiB)
          Interrupt:16 Memory:febe0000-fec00000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.4.20.158  P-t-P:10.4.20.157  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (555.0 B)  TX bytes:668 (668.0 B)

root@server1:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.4.20.157     128.0.0.0       UG    0      0        0 tun0
default         Vigor.rootload. 0.0.0.0         UG    0      0        0 eth0
10.4.0.1        10.4.20.157     255.255.255.255 UGH   0      0        0 tun0
10.4.20.157     *               255.255.255.255 UH    0      0        0 tun0
95.211.191.33   Vigor.rootload. 255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.4.20.157     128.0.0.0       UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
root@server1:~#

W  takiej sytuacji chce miec dostep do serwera z zewnatrz ktory ma adres ip 192.168.1.10 .

Ostatnio edytowany przez dred111 (2013-06-27 23:47:28)