Как пробросить порт в VPN подключение?

[byte916]

Есть роутер, подключен к интернету через NAT провайдера, т.е. смотрит в интернет через серый IP.

Есть необходимость пробросить порт наружу, в интернет (допустим, для условного web сервера).

Для этой цели было решено заиспользовать имеющийся в хозяйстве VPN сервер (StrongSwan IPSec IKEv2 на Ubuntu на VPS). На роутере подключение к этому VPN серверу было настроено уже давно, и так же была давно настроена маршрутизация через VPN для доступа к рабочим ресурсам. И все работает.

Чтобы заработал проброс порта из интернета, надо сделать двойной проброс - на VPN и на роутере.

На VPN проброс сделан таким образом

-A PREROUTING -i eth0 -p tcp --dport 12341 -j DNAT --to-destination 10.10.10.1:12341

На роутере проброс сделан через веб-интерфейс.

Собственно, проблема в том, что проброс порта не работает. Диагностика - Захват сетевых пакетов показывает, что пакеты на порт 12341 приходят.

На самом сервере проброс сделан и пакеты уходят. До роутера они доходят, это видно на роутере в Диагностика - Захват сетевых пакетов.

До компьютера пакеты не доходят. Пробовал делать проброс на два компьютера за роутером, один Windows, другой Ubuntu.

Собственно вопрос - как пробросить порт на роутере, чтобы всё работало?

Изменено 30 декабря, 2024 пользователем byte916

[CBLoner]

Чуть сумбурно

Скорее всего дело в маршрутах, наверное со стороны "сервера".

Две машины за роутером и за туннелем на пинги откликаются?

[byte916]

55 минут назад, CBLoner сказал:

Чуть сумбурно

Переписал, надеюсь теперь более понятно. Может дело в маршрутах, но до роутера порт пробрасывается.

[Leshiyart]

17 часов назад, byte916 сказал:

Собственно вопрос - как пробросить порт на роутере, чтобы всё работало?

дело в том что ответ на такой запрос пойдет через основное подключение, надо либо пускать весь трафик этого компа через то впн, либо чтоб запрос приходил из не с внешним йп источника, а внутренним йп впн. в каком то месте надо сделать snat

[CBLoner]

Да, выше вполне может помочь, по идее.

Я так понял, вся эта чехорда из-за отсутствия белого IP на роутере? Купить можно?

Моё видение, построить нормальный IP Sec VPN site-2-site, с разными подсетями, чтобы VPS и ваша сеть за роутером не пересекались, а потом просто на интерфейсе VPS сливать весь входящий на ваш внутренний IP, который за роутером.

Но по мне, тут проще IP прибарахлить и просто закинуть порт на самом кинетике.

[byte916]

В 31.12.2024 в 11:54, Leshiyart сказал:

дело в том что ответ на такой запрос пойдет через основное подключение, надо либо пускать весь трафик этого компа через то впн, либо чтоб запрос приходил из не с внешним йп источника, а внутренним йп впн. в каком то месте надо сделать snat

До ответа на такой запрос дело не доходит, поскольку роутер не пересылает пакеты. На роутер пакеты приходят, на компьютер - нет, см. второе изображение основного поста - это пакеты, которые отловил роутер. Адрес источника - внешний IP VPN, адрес назначение - IP роутера полученный от VPN сервера. По идее роутер должен направлять эти пакеты в компьютер, но на компьютере в Wireshark пусто.

В 31.12.2024 в 12:56, CBLoner сказал:

Я так понял, вся эта чехорда из-за отсутствия белого IP на роутере? Купить можно?

Купить можно, но цена сравнима с абонентской платой за интернет, т.е. плата за интернет вырастет вдвое. VPS с VPN сервером стоит почти втрое дешевле. По идее этот вопрос должен решаться технически и решение не должно быть сложным или избыточным.

Изменено Пятница в 10:26 пользователем byte916

[byte916]

В общем пока всё застряло на перенаправлении порта. Роутер пакеты получает, но не отправляет из VPN на указанный IP. Что я делаю не так?

[CBLoner]

Постройте IPsec сеть-сеть...  

Главное чтобы на стороне VPS можно было нормально указать IP для сервиса из другой сети.