Portál AbcLinuxu, 10. května 2025 11:19

Dotaz: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)

20.8.2014 08:20 LuRy | skóre: 12
Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Přečteno: 416×
Odpovědět | Admin

Zdravim, resim kuriozni situaci a vubec nevim jak zacit..
Resim na jednom serveru (ktery je zahostovany u jedne spolecnosti ktera povolila pro odchozi spojeni pouze porty 80 a 443) jak vyresit pripojeni webove aplikace na imap server.

Vyresil jsem napriklad pro odchozi postu relay postfixu ktery preposila postu na dalsi postfix ktery sedi na openvpn (vpn se pripojuje prave na 443) siti kde uz omezeni odchoziho spojeni neni.
Chtel bych resit podobne, ze i odchozi spojeni pro imap port 110 nebo 993 by slo skrz VPN kde bude maskarada..
Zkousel jsem se prokousat nazory a priklady na http://www.linksysinfo.org/index.php?threads/route-only-specific-ports-through-vpn-openvpn.37240/ ale zustalo to bez vysledku nic to nedelalo...

Je to realne?

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.8.2014 09:36 \/
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nainstaluješ OpenVPN na zabarikádovaném serveru a na přístupném serveru na internetu. Na přístupném serveru poběží OpenVPN na portu 80 nebo 443 v módu server. Podle toho, jestli zabarikádovaný server může ven na udp nebo jen na tcp se rozhodneš, na jakém protokolu pojede vpn. Udp je lepší. Nakonfiguruješ, aby se OpnVPN spojily, nastavíš routování a firewally je to. Speciálním routováním jednotlivých portů bych se nezabýval. Ale jde to.

20.8.2014 09:43 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
pozicias si v pozicovni auto, ktore moze zatacat len do prava. tak si ho nalozis na nakladak, a budes sa vozit takto.

taky hosting by som poslal do riti, a zmenil ho...
20.8.2014 09:54 LuRy | skóre: 12
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Hosting neovlivnim, dostal jsem se k tomu trochu oklikou to jakou maji politiku do toho nos strkat nemuzu ale puvodne nebyly povoleny ani ty porty 80 a 443 a po dlouhem dohadovanim svolili k jejimu povoleni (Takze sem nevahal a zridil tu vpnku na vps za 100kc/mes aby aspon neco slo).. Je to hostovano v jakemsi datacentru jedny nadnarodni spolecnosti (radsi nebudu rikat ani jake, jinak na me budete koukat skrz prsty :D)
20.8.2014 09:49 LuRy | skóre: 12
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Asi jsem se nevyjadril presne. OpenVPN takto bezi, problem je v tom jak docilit toho aby zabarikadovany server na odchozi spojeni posilal spojeni na porty imap/smtp skrz masakaradu na tap0 a zbytek nechal tak jak je..

Btw jestli UDP je lepsi to bych asi netvrdil, pred nejakou dobou jsem pres UDP zkousel rozjet sdileni nfs serveru a byla to katastrofa odpojovalo se to a podobne, uz z podstaty kdy udp ze kasle na potvrzovani paketu (sic je rychlejsi prave kuli tomu)
20.8.2014 10:16 NN
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Reseni v odkazu vytvori samostatnou routovaci tabulku do ktere posila omarkovany provoz ven, zbytek jede skrz VPN, v tvem pripade by to bylo identicke, ale naruby. Obecnou maskaradou ie. DNAT-em by to slo vyresit take, ale sluzby by jsi musel suplovat na druhem konci tunelu.
20.8.2014 10:36 LuRy | skóre: 12
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)

Budeme brat v potaz cisty firewall a default routovaci tabulku..
Rekneme ze odkud potrebuju cpat spojeni pres vpn je vpn-klient, neblokovany server vpn-server

Na VPN-Klientu

ip route list
default via 10.143.126.126 dev eth0
10.100.50.0/24 dev tap0  proto kernel  scope link  src 10.100.50.2
10.143.126.0/25 dev eth0  proto kernel  scope link  src 10.143.126.23

Zkusil jsem toto

ip route add default table 100 via 10.100.50.1
ip rule add fwmark 1 table 100
ip route flush cache
iptables -t mangle -I PREROUTING -p tcp --dport 25 -j MARK --set-mark 1

Pri pokusu telnet IP 25 se nic nedelo respektive nic nenormalniho, dostal jsem connection refused jako doposavad, prave tim jejich zabezpecenim. Pri zobraznei iftop nebyl videt zadny pokus o spojeni z toho vpn serveru.

20.8.2014 10:55 \/
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Nemělo by tam být POSTROUTING?
20.8.2014 13:41 LuRy | skóre: 12
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Dle ceho soudis? Omrknul jsem par postu na googlu pod vyrazem "ip route add default table 100" a vsude prerouting.. Priznam se ze trochu plavu v tom post/pre a v tom si to predstavit jak to vlastne bude
20.8.2014 13:55 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
PREROUTING je dobře, nezahazuje to ti někde firewall, co traceroute -T -p25 nejakaip ?
Každý problém ma své logické, snadno pochopitelné nesprávné řešení.
20.8.2014 14:03 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
PREROUTING je samozřejmě špatně, protože se jedná o odchozí spojení, které má být směřované do vpn tunelu.
20.8.2014 14:20 LuRy | skóre: 12
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
PREROUTING alespon dle toho co jsem se docetl se provede prvni pri vstupu paketu na firewall.. tim ze firewall nevi nebo je mu fuk co je WAN a LAN tak to pujde z obou stran na nejprve PREROUTING
20.8.2014 14:28 xxl | skóre: 26
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Má tam být OUTPUT.
20.8.2014 14:21 LuRy | skóre: 12
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
Ozkousim to az se trochu setmi, je to produkcni server a uz dnes v noci se mi podarilo vyhodit spojeni s internetem flushnutim routovaci tabulky :D
21.8.2014 06:44 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Presmerovani odchoziho spojeni pres jine zarizeni (OpenVPN)
jj, po setmeni na tebe nebude videt :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.