Tham gia Đăng nhập
Điểm:0
avatar Server

Chuyển hướng lưu lượng truy cập từ giao diện sang giao diện điều chỉnh VPN bằng iptables

lá cờ ge
Mazzy

Tôi đang cố gắng đạt được điều gì đó dễ dàng nhưng dường như tôi đang thiếu thứ gì đó.

Trong hộp của tôi, tôi có một máy khách VPN đang chạy đã tạo ra một điều chỉnh0 giao diện. Hộp có lưu lượng truy cập bên ngoài đến từ eth0.

Tôi muốn chuyển tiếp lưu lượng truy cập từ eth0 đến điều chỉnh0. Tôi chạy các lệnh sau:

iptables -A FORWARD -i eth0 -o tun0 -s 192.168.100.0/28 -j CHẤP NHẬN
iptables -A FORWARD -i tun0 -o eth0 -m state --state THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN
iptables -t nat -A POSTROUTING -s 192.168.100.0/28 -o tun0 -j MASQUERADE

Lưu ý rằng tôi chọn phạm vi IP nguồn vì tôi chỉ muốn chuyển tiếp một phạm vi nhất định.

Đang chạy tcpdump trên eth0 giao diện Tôi có thể thấy lưu lượng truy cập đến từ một máy trong phạm vi 192.168.100.0/28 nhưng tôi không thể thấy giao thông đi vào điều chỉnh0.

Chuyển tiếp IP tự nhiên được bật.

Tôi không chắc mình thực sự đang thiếu gì ở đây.

cấu hình IP của eth0192.168.10.93/24 trong khi điều chỉnh010.8.8.15/24

â ~ ip r
mặc định qua 192.168.10.1 dev eth0 metric 100
10.8.8.0/24 liên kết phạm vi dev tun0 src 10.8.8.15
172.17.0.0/16 liên kết phạm vi dev docker0 src 172.17.0.1
172.30.32.0/23 liên kết phạm vi dev hassio src 172.30.32.1
192.168.10.0/24 liên kết phạm vi dev eth0 src 192.168.10.93 số liệu 100
1206
2 + 12
lá cờ ge
Mazzy
Lưu lượng đi vào hộp không có đích `192.168.100.0/28` nhưng có nguồn `192.168.100.0/28`. đích đến là Internet.
1
Hồi đáp
lá cờ ge
Mazzy
Cấu hình IP của `eth0` là `192.168.10.93/24` trong khi `tun0` là `10.8.8.15/24`.
0
Hồi đáp
lá cờ ge
Mazzy
`â~ip r mặc định qua 192.168.10.1 dev eth0 metric 100 10.8.8.0/24 liên kết phạm vi dev tun0 src 10.8.8.15 172.17.0.0/16 liên kết phạm vi dev docker0 src 172.17.0.1 172.30.32.0/23 liên kết phạm vi dev hassio src 172.30.32.1 192.168.10.0/24 liên kết phạm vi dev eth0 src 192.168.10.93 số liệu 100 `
0
Hồi đáp
lá cờ ge
Mazzy
Chắc chắn. đã thêm các thay đổi cần thiết
0
Hồi đáp
lá cờ ge
Mazzy
đích của lưu lượng là các IP bên ngoài chung của Internet. về cơ bản, một máy tạo lưu lượng truy cập Internet được chuyển tiếp tới giao diện `eth0` của hộp này và từ `eth0` phải được chuyển tiếp tới `tun0` rồi cuối cùng tới Internet. điều quan trọng nhất là lưu lượng truy cập rời khỏi `tun0` vì đó là VPN.
0
Hồi đáp
lá cờ in
NiKiZe
Bạn nói về việc chuyển tiếp từ `eth0` (internet) sang `tun0`. Tôi không thể hiểu bạn thực sự muốn chuyển đến đâu. Bạn có thể đưa ra một ví dụ tốt hơn về một gói không hoạt động không. Một gói đến được internet sẽ được chuyển tiếp đến `eth0` vì đó là internet của bạn.
0
Hồi đáp
lá cờ ge
Mazzy
Về cơ bản là giao diện `tun0` của VPN, lưu lượng truy cập sẽ đến Internet thông qua `tun0` để giao diện này xuất hiện dưới dạng kết nối VPN. Về cơ bản bằng tiếng Anh đơn giản, những gì tôi đang cố gắng làm là: tất cả lưu lượng truy cập đến giao diện `eth0` với một IP nguồn cụ thể phải được chuyển tiếp tới Internet thông qua giao diện `tun0` để nó xuất hiện sau kết nối VPN.
0
Hồi đáp
lá cờ in
NiKiZe
Bạn cũng có thể truy cập internet qua `tun0` không? Tôi nghĩ rằng sự hiểu biết của bạn về những gì chuyển tiếp là sai. Bạn có thể vui lòng xác minh rằng bạn chắc chắn nguồn và đích là gì trong các tình huống bạn đang nghĩ đến. Nếu bạn có lưu lượng truy cập với đích là "internet" đến từ `tun0` và muốn lưu lượng truy cập đó được chuyển tiếp tới internet, thì `eth0` nên thực hiện MASQUERADE, nhưng điều đó không phù hợp với giải thích về phạm vi nguồn của bạn.
0
Hồi đáp
lá cờ ge
Mazzy
Ok tôi sẽ xem xét tất cả các giả định của mình và tôi sẽ cho bạn biết.
0
Hồi đáp
lá cờ ge
Mazzy
Ngoài ra, tôi sẽ xem xét điều này https://serverfault.com/questions/571801/tunneling-traffic-from-eth0-to-tun0-openvpn-ububtu-12-04 vì đó chính xác là những gì tôi đang cố gắng đạt được. Dẫu sao cũng xin cảm ơn
0
Hồi đáp
lá cờ ge
Mazzy
nhưng chỉ để giải thích cho bạn một điều vì tôi nghĩ rằng tôi đã hiểu những gì bạn chưa hiểu, máy có giao diện `eth0` và `tun0` sẽ phải hoạt động như một công cụ giao nhận. lấy lưu lượng truy cập vào giao diện `eth0` và đưa nó lên Internet thông qua giao diện `tun0`.
0
Hồi đáp
lá cờ in
NiKiZe
Vì vậy, tun0 hiện là internet chứ không phải eth0 IP của gateway trên tun0 là gì?
0
Hồi đáp
Điểm:1
avatar Server
lá cờ in
NiKiZe

Vì điều này cuối cùng có thể là về việc có lưu lượng truy cập từ 192.168.100.0/28 đi ra ngoài điều chỉnh0 Điều này có thể được giải quyết bằng một cái gì đó như:

thêm quy tắc ip từ tra cứu 192.168.100.0/28 10000
tuyến ip thêm mặc định qua bảng ${tun0gwip} 10000

Ngoài ra, hãy giữ iptables MASQUERADE cần thiết trừ khi tun0 gw có thể định tuyến trở lại mạng khác của bạn.

0 + 6
lá cờ ge
Mazzy
Cảm ơn tôi sẽ thử xem nó có hoạt động không. Nhưng câu hỏi của tôi là các gói từ eth0 nên được chuyển tiếp đến tun0. Tại sao lệnh chuyển tiếp của tôi không hoạt động?
0
Hồi đáp
lá cờ in
NiKiZe
`iptables` không chịu trách nhiệm về nơi lưu lượng truy cập được định tuyến, đó là công việc của `bảng định tuyến`
2
Hồi đáp
lá cờ ge
Mazzy
Tôi không thực sự quen thuộc với lệnh `ip rule add` vì vậy tôi cần khám phá nó nhưng đây là những gì tôi nhận được `quy tắc ip thêm từ 192.168.100.0/28 tra cứu 10000 ip: đối số không hợp lệ '10000' thành 'ID bảng' `
0
Hồi đáp
lá cờ ge
Mazzy
Tôi đã phải cài đặt công cụ `iproute2`. Ngoài ra, tôi đã tìm thấy chính xác tất cả các lệnh cần thiết và `iptables` là cần thiết vào cuối ngày nếu không thì không có NATing. https://unix.stackexchange.com/questions/490662/how-to-route-traffic-from-br0-to-tun0-when-tun0-is-not-the-default-route-of-the
0
Hồi đáp
lá cờ ge
Mazzy
Tôi sẽ ủng hộ câu trả lời của bạn @NiKiZe nhưng nó không hoàn toàn đúng trong trường hợp của tôi. Trên thực tế, w/o `iptables` sẽ không hoạt động.
1
Hồi đáp
lá cờ in
NiKiZe
Bạn đã có phần MASQRADE đúng rồi nên không bao gồm phần đó. Sẽ cập nhật để đề cập đến điều đó là tốt.
0
Hồi đáp
Điểm:0
avatar Server
lá cờ ge
Mazzy

Đây là sự kết hợp chính xác của các lệnh đã giải quyết vấn đề:

Tạo một bảng định tuyến mới có tên vpn Dưới

â ~ mèo /etc/iproute2/rt_tables
#
# giá trị dành riêng
#
255 địa phương
254 chính
253 mặc định
0 không xác định
#
# địa phương
#
#1 inr.ruhep
1 vpn

và sau đó chạy:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

iptables -A FORWARD -i eth0 -o tun0 -s 192.168.100.0/28 -j CHẤP NHẬN
iptables -A FORWARD -i tun0 -o eth0 -j CHẤP NHẬN

iptables -A INPUT -i tun0 -m state --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN

tuyến ip thêm bảng dev tun0 mặc định vpn
tuyến ip thêm 192.168.100.0/28 bảng dev eth0 vpn

thêm quy tắc ip từ 192.168.100.0/28 bảng vpn
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.