Jump to content

Question

Posted (edited)

Есть роутер, подключен к интернету через NAT провайдера, т.е. смотрит в интернет через серый IP.

Есть необходимость пробросить порт наружу, в интернет (допустим, для условного web сервера).

Для этой цели было решено заиспользовать имеющийся в хозяйстве VPN сервер (StrongSwan IPSec IKEv2 на Ubuntu на VPS). На роутере подключение к этому VPN серверу было настроено уже давно, и так же была давно настроена маршрутизация через VPN для доступа к рабочим ресурсам. И все работает.

Чтобы заработал проброс порта из интернета, надо сделать двойной проброс - на VPN и на роутере.

На VPN проброс сделан таким образом

-A PREROUTING -i eth0 -p tcp --dport 12341 -j DNAT --to-destination 10.10.10.1:12341

На роутере проброс сделан через веб-интерфейс.
ABC3x7b21uw.jpg.1d3f22dec28b3f19ea58a3966d0896bb.jpg

Собственно, проблема в том, что проброс порта не работает. Диагностика - Захват сетевых пакетов показывает, что пакеты на порт 12341 приходят.

На самом сервере проброс сделан и пакеты уходят. До роутера они доходят, это видно на роутере в Диагностика - Захват сетевых пакетов.

Clipboard1.thumb.jpg.71fba718999f3cfdda0f3c53f7cf6498.jpg

До компьютера пакеты не доходят. Пробовал делать проброс на два компьютера за роутером, один Windows, другой Ubuntu.

Собственно вопрос - как пробросить порт на роутере, чтобы всё работало?

Edited by byte916

7 answers to this question

Recommended Posts

  • 0
Posted

Чуть сумбурно ;)

Скорее всего дело в маршрутах, наверное со стороны "сервера".

Две машины за роутером и за туннелем на пинги откликаются?

  • 0
Posted
55 минут назад, CBLoner сказал:

Чуть сумбурно ;)

Переписал, надеюсь теперь более понятно. Может дело в маршрутах, но до роутера порт пробрасывается.

  • 0
Posted
17 часов назад, byte916 сказал:

Собственно вопрос - как пробросить порт на роутере, чтобы всё работало?

дело в том что ответ на такой запрос пойдет через основное подключение, надо либо пускать весь трафик этого компа через то впн, либо чтоб запрос приходил из не с внешним йп источника, а внутренним йп впн. в каком то месте надо сделать snat

  • 0
Posted

Да, выше вполне может помочь, по идее.

Я так понял, вся эта чехорда из-за отсутствия белого IP на роутере? Купить можно?

Моё видение, построить нормальный IP Sec VPN site-2-site, с разными подсетями, чтобы VPS и ваша сеть за роутером не пересекались, а потом просто на интерфейсе VPS сливать весь входящий на ваш внутренний IP, который за роутером.

Но по мне, тут проще IP прибарахлить и просто закинуть порт на самом кинетике.

  • 0
Posted (edited)
В 31.12.2024 в 11:54, Leshiyart сказал:

дело в том что ответ на такой запрос пойдет через основное подключение, надо либо пускать весь трафик этого компа через то впн, либо чтоб запрос приходил из не с внешним йп источника, а внутренним йп впн. в каком то месте надо сделать snat

До ответа на такой запрос дело не доходит, поскольку роутер не пересылает пакеты. На роутер пакеты приходят, на компьютер - нет, см. второе изображение основного поста - это пакеты, которые отловил роутер. Адрес источника - внешний IP VPN, адрес назначение - IP роутера полученный от VPN сервера. По идее роутер должен направлять эти пакеты в компьютер, но на компьютере в Wireshark пусто.

В 31.12.2024 в 12:56, CBLoner сказал:

Я так понял, вся эта чехорда из-за отсутствия белого IP на роутере? Купить можно?

Купить можно, но цена сравнима с абонентской платой за интернет, т.е. плата за интернет вырастет вдвое. VPS с VPN сервером стоит почти втрое дешевле. По идее этот вопрос должен решаться технически и решение не должно быть сложным или избыточным.

Edited by byte916
  • 0
Posted

В общем пока всё застряло на перенаправлении порта. Роутер пакеты получает, но не отправляет из VPN на указанный IP. Что я делаю не так?

ABC3x7b21uw.jpg.1d3f22dec28b3f19ea58a3966d0896bb.jpg

  • 0
Posted

Постройте IPsec сеть-сеть...  

Главное чтобы на стороне VPS можно было нормально указать IP для сервиса из другой сети.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.