« edellinen seuraava »
Sivuja: [1]   Siirry alas

Kirjoittaja Aihe: OpenVPN ja ssh yhteys  (Luettu 1774 kertaa)

Bent

  • Käyttäjä
  • Viestejä: 77
    • Profiili
OpenVPN ja ssh yhteys
« : 05.10.10 - klo:15.23 »
Mulla on tälläinen ongelma:

Haluan saada eth0 interfaceen ssh yhteyden ulkoverkosta kun koneeseen jossa on vpn yhteys auki ja kaikki ulkoinen verkkoliikenne ohjautuu tun0 interfaceen. Selitystä alla.

Kotiservuni on jatkuvasti yhteydessä openvpn yhteyden läpi ulkomaailmaan. Eli ulospäin servun ip on jossain toisella puolella maailmaa.

Tilanne:
Reititin on nat modessa ja sisäverkon ip:t ovat 10.0.0.2->10.0.0.100. Reitittimen ulkoinen ip osoite on esimerkiksi 200.100.0.1

Kotiservuni sisäinen IP on 10.0.0.5 ja ulkoinen ip vaikka 150.100.0.1 (vpn yhteys). Voin ottaa yhteyden kotikoneeseeni ssh kautta osoitteesta 150.100.0.1 portista 22. Haluaisin myös ottaa yhteyttä siihen osoitteesta 200.100.0.1 portista 22. Tämä onnistuukin jos vpn yhteys ei ole auki mutta sen ollessa auki kone hyväksyy vain sisäverkosta yhteyden porttiin 22 (eli osoitteista 10.0.0.0->10.0.0.100). Reitittimestä portit on forwardoitu oikein ja olen testannut tämän.

Oletan että ongelma liittyy jotenkin vpn yhteyden muodostuksessa tehdyistä iptables merkinnöistä. Olisiko jollakulla tietoa onko mahdollista sallia vpn yhteyden ollessa auki ssh yhteys tuohon reitittimen ulkoiseen ip:hen. Oikeastaan tiedän että tuo on mahdollista en vain tiedä mitä pitäisi muokata tai miten. Reitittimestä tuo pyyntö forwadoituu servulle oikein mutta servu hylkää sen sillä se käyttää sitä tun0 interfacea ja hylkää kaikki eth0 interfaceen tulevat pyynnöt jotka eivät tule sisäverkosta ja koska pyyntö välittää ulkoverkosta reitittimen läpi se hylätään.
Kirjattu

Bent

  • Käyttäjä
  • Viestejä: 77
    • Profiili
Vs: OpenVPN ja ssh yhteys
« Vastaus #1 : 19.10.10 - klo:12.25 »
Ratkaisin ongelmani näin:
#luodaan reitti 10.0.0.1 gw osoitteelle niille paketeille jotka on merkitty merkillä 101, 10.0.0.1 on eth0 yhteyden normaali gw
ip route add default via 10.0.0.1 table 101
#luodaan reitti sisäverkon liikenteelle
ip route add 10.0.0.0/24 dev eth0 table 101
#merkitään kaikki paketin joissa on lähtöosoite 10.0.0.5 taulun 101 sääntöjen mukaan.
ip rule add from 10.0.0.5 table 101

Nyt kaikki liikenne joka tulee sisään ei vpn yhteyden ip:llä saa myös lähteä samaa reittiä ulos. Nämä asetukset eivät pysy boottien jälkeen joten se piti lisätä jonnekkin, itse tungin sen /etc/rc.local
« Viimeksi muokattu: 19.10.10 - klo:12.56 kirjoittanut Bent »
Kirjattu
Sivuja: [1]   Siirry ylös
« edellinen seuraava »