Рейтинг:0

Server

Перенаправление трафика с интерфейса на интерфейс настройки VPN с помощью iptables

Mazzy

04.12.2022, 14:16

Я пытаюсь добиться чего-то легкого, но, видимо, мне чего-то не хватает.

В моем ящике работает VPN-клиент, который создал тун0 интерфейс. Коробка имеет внешний трафик, исходящий от eth0.

Я хочу перенаправить трафик с eth0 к тун0. Я запускаю следующие команды:

iptables -A FORWARD -i eth0 -o tun0 -s 192.168.100.0/28 -j ПРИНЯТЬ
iptables -A FORWARD -i tun0 -o eth0 -m состояние --state УСТАНОВЛЕНО, СВЯЗАННО -j ПРИНЯТЬ
iptables -t nat -A POSTROUTING -s 192.168.100.0/28 -o tun0 -j MASQUERADE

Обратите внимание, что я выбираю диапазон исходных IP-адресов, потому что хочу пересылать только определенный диапазон.

Бег tcpdump на eth0 интерфейс я вижу трафик, поступающий от машины в диапазоне 192.168.100.0/28 но я не вижу трафика, идущего в тун0.

Переадресация по IP естественно включена.

Я не уверен, что мне действительно не хватает здесь.

IP-конфигурация eth0 является 192.168.10.93/24 пока тун0 является 10.8.8.15/24

√ ip r
по умолчанию через 192.168.10.1 dev eth0 метрика 100
10.8.8.0/24 dev tun0 ссылка на область действия src 10.8.8.15
172.17.0.0/16 dev docker0 ссылка на область действия src 172.17.0.1
172.30.32.0/23 dev hassio scope link src 172.30.32.1
192.168.10.0/24 dev eth0 ссылка на область видимости src 192.168.10.93 метрика 100

1206

2 + 12

iptables

Mazzy

04.12.2022, 14:59

Трафик, попадающий в ящик, не имеет пункта назначения «192.168.100.0/28», но имеет источник «192.168.100.0/28». пункт назначения — Интернет.

Ответить

Mazzy

04.12.2022, 15:00

IP-конфигурация eth0 — 192.168.10.93/24, а tun0 — 10.8.8.15/24.

Ответить

Mazzy

04.12.2022, 15:00

`~ ip r по умолчанию через 192.168.10.1 dev eth0 метрика 100 10.8.8.0/24 dev tun0 ссылка на область действия src 10.8.8.15 172.17.0.0/16 dev docker0 ссылка на область действия src 172.17.0.1 172.30.32.0/23 dev hassio scope link src 172.30.32.1 192.168.10.0/24 dev eth0 ссылка на область видимости src 192.168.10.93 метрика 100 `

Ответить

Mazzy

04.12.2022, 15:06

Конечно. добавил необходимые изменения

Ответить

Mazzy

04.12.2022, 15:17

назначением трафика являются общие внешние IP-адреса Интернета. в основном машина генерирует Интернет-трафик, который перенаправляется на интерфейс eth0 этого блока, а из eth0 должен быть перенаправлен на tun0 и, наконец, в Интернет. самое главное, что трафик уходит с `tun0`, потому что это VPN.

Ответить

NiKiZe

04.12.2022, 15:19

Вы говорите о переадресации из `eth0` (интернет) в `tun0`. Я не могу понять, что вы на самом деле хотите куда. Не могли бы вы привести лучший пример пакета, который не работает. Пакет, который должен попасть в Интернет, должен быть перенаправлен на eth0, так как это ваш Интернет.

Ответить

Mazzy

04.12.2022, 15:23

По сути, это интерфейс «tun0» VPN, поэтому трафик должен поступать в Интернет через «tun0», поэтому он будет казаться замаскированным VPN-соединением. В основном на простом английском языке я пытаюсь сделать следующее: весь входящий трафик на интерфейс eth0 с определенным IP-адресом источника должен перенаправляться в Интернет через интерфейс tun0, чтобы он отображался за VPN-соединением.

Ответить

NiKiZe

04.12.2022, 15:28

Можете ли вы подключиться к Интернету через `tun0`? Я думаю, что ваше понимание того, что такое переадресация, неверно. Не могли бы вы подтвердить, что вы уверены в том, что является источником и пунктом назначения в сценариях, о которых вы думаете. Если у вас есть трафик с пунктом назначения «интернет», поступающий через `tun0`, и вы хотите, чтобы он перенаправлялся в интернет, то именно eth0 должен выполнять MASQUERADE, но это не работает с вашим объяснением исходного диапазона.

Ответить

Mazzy

04.12.2022, 15:30

Хорошо, я рассмотрю все свои предположения и дам вам знать.

Ответить

Mazzy

04.12.2022, 15:33

Также я рассмотрю этот https://serverfault.com/questions/571801/tunneling-traffic-from-eth0-to-tun0-openvpn-ububtu-12-04, потому что это именно то, чего я пытаюсь достичь. Спасибо, в любом случае

Ответить

Mazzy

04.12.2022, 15:40

но просто чтобы объяснить вам, потому что я думаю, что понял то, что вы не поняли, машина с интерфейсами `eth0` и `tun0` должна будет работать как форвардер. принимать трафик, поступающий на интерфейс eth0, и направлять его в Интернет через интерфейс tun0.

Ответить

NiKiZe

04.12.2022, 16:07

Так что tun0 теперь интернет, а не eth0 Какой IP-адрес шлюза на tun0?

Ответить

Рейтинг:1

Server

NiKiZe

04.12.2022, 16:14

Поскольку это, в конце концов, может быть связано с трафиком из 192.168.100.0/28 выйти за тун0 Это может быть решено чем-то вроде:

ip правило добавить из 192.168.100.0/28 поиск 10000
ip route добавить по умолчанию через таблицу ${tun0gwip} 10000

Также сохраните iptables MASQUERADE, который необходим, если только tun0 gw не сможет вернуться в другую вашу сеть.

0 + 6

Mazzy

04.12.2022, 16:30

Спасибо, я попробую и посмотрю, работает ли это. Но мой вопрос заключается в том, что пакеты от eth0 должны быть перенаправлены на tun0. Почему моя команда вперед не работает?

Ответить

NiKiZe

04.12.2022, 16:34

iptables не отвечает за маршрутизацию трафика, это работа таблицы маршрутизации.

Ответить

Mazzy

04.12.2022, 18:56

Я не совсем знаком с командой `ip rule add`, поэтому мне нужно изучить ее, но это то, что я получаю `правило ip добавляет из 192.168.100.0/28 поиска 10000 ip: неверный аргумент '10000' в 'идентификатор таблицы' `

Ответить

Mazzy

04.12.2022, 19:12

Мне пришлось установить инструмент iproute2. также я нашел точно все необходимые команды, и `iptables` необходим в конце дня, иначе нет NAT. https://unix.stackexchange.com/questions/490662/how-to-route-traffic-from-br0-to-tun0-when-tun0-is-not-the-default-out-of-the

Ответить

Mazzy

04.12.2022, 20:35

Я собираюсь проголосовать за ваш ответ @NiKiZe, но в моем случае это не совсем правильно. На самом деле без iptables не получится.

Ответить

NiKiZe

04.12.2022, 20:50

У вас уже была правильная часть MASQURADE, поэтому вы не включили ее. Будет обновление, чтобы упомянуть об этом.

Ответить

Рейтинг:0

Server

Mazzy

04.12.2022, 20:33

Это точная комбинация команд, которая решила проблему:

Создайте новую таблицу маршрутов с именем впн под

➤ ~ кошка /etc/iproute2/rt_tables
#
# зарезервированные значения
#
255 местных
254 основных
253 по умолчанию
0 не указано
#
# местный
#
№1 в инр.рухепе
1 впн

а затем запустите:

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

iptables -A FORWARD -i eth0 -o tun0 -s 192.168.100.0/28 -j ПРИНЯТЬ
iptables -A ВПЕРЕД -i tun0 -o eth0 -j ПРИНЯТЬ

iptables -A INPUT -i tun0 -m состояние --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ

ip route добавить по умолчанию dev tun0 table vpn
ip route добавить 192.168.100.0/28 dev eth0 table vpn

ip правило добавить из таблицы 192.168.100.0/28 vpn

0 + 0

Admin

Этот вопрос на других языках:

EN: Redirect traffic from an interface to a VPN tun interface with iptables

TH: เปลี่ยนเส้นทางการรับส่งข้อมูลจากอินเทอร์เฟซไปยังอินเทอร์เฟซ VPN tun ด้วย iptables

RO: Redirecționați traficul de la o interfață la o interfață VPN tun cu iptables

RU: Перенаправление трафика с интерфейса на интерфейс настройки VPN с помощью iptables

VI: Chuyển hướng lưu lượng truy cập từ giao diện sang giao diện điều chỉnh VPN bằng iptables

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.