Tomato 기반 라우터에서 OpenVPN 클라이언트를 활성화하면 포트 포워딩이 더 이상 작동하지 않는 것 같습니다. 이 펌웨어가 설치된 Asus RT-N16 라우터가 있습니다.
Tomato 펌웨어 1.28.0000 MIPSR2-115 K26 USB VPN (shibby 빌드)
나는 최근에 VPN 서비스에 가입했고 그들이 제공하는 가이드에 따라 라우터에 VPN을 설정했습니다 : http://www.ipvanish.com/visualguides/OpenVPN/Tomato/
가이드를 따르고 나면 모든 트래픽이 터널링됩니다. 그러나 더 이상 외부에서 액세스 할 수없는 아파치 (포트 80 및 443)를 호스팅하는이 라우터에 우분투 서버가 연결되어 있습니다. 저는 VPN 세계에 익숙하지 않으므로 이론이 틀리면 저를 수정하십시오. WAN 요청이 VPN 외부로 들어올 때 포트 포워딩으로 인해 이러한 방식으로 응답되기를 바랐습니다. 내 무식한 추측은 요청이 들어오고 있지만 응답이 터널로 사라지고 있다는 것입니다.
다음과 같이 라우터의 iptables에 추가 규칙을 추가해야한다고 제안하는 여러 게시물을 다른 곳에서 보았습니다.
iptables -t nat -A PREROUTING -p tcp --dport <your_port_number> -j DNAT --to-destination <your_destination_IP_address>
iptables -A FORWARD -s <your_VPN_IP> -p tcp --dport <your_port_number> -j ACCEPT
그러나 나는 이것을 구현하는 데 성공하지 못했습니다. 내가 시도하는 것을 할 수 있습니까? 그렇다면 어떤 단계를 놓치고 있습니까? 다음은 VPN 클라이언트가 활성화 된 후 라우터의 ifconfig 및 iptables 출력입니다. 감사.
br0 Link encap:Ethernet HWaddr BC:AE:C5:E8:2B:72
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4906280 errors:0 dropped:0 overruns:0 frame:0
TX packets:6593105 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3320899619 (3.0 GiB) TX bytes:3055186673 (2.8 GiB)
eth0 Link encap:Ethernet HWaddr BC:AE:C5:E8:2B:72
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:12317339 errors:0 dropped:0 overruns:0 frame:0
TX packets:11550871 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2602762531 (2.4 GiB) TX bytes:2190393333 (2.0 GiB)
Interrupt:4 Base address:0x2000
eth1 Link encap:Ethernet HWaddr BC:AE:C5:E8:2B:74
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:141603 errors:0 dropped:0 overruns:0 frame:12229612
TX packets:253818 errors:17 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:11473501 (10.9 MiB) TX bytes:323350737 (308.3 MiB)
Interrupt:3 Base address:0x1000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MULTICAST MTU:16436 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3675 (3.5 KiB) TX bytes:3675 (3.5 KiB)
tun11 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:172.20.25.181 P-t-P:172.20.25.181 Mask:255.255.248.0
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:1649 errors:0 dropped:0 overruns:0 frame:0
TX packets:1186 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1808407 (1.7 MiB) TX bytes:129251 (126.2 KiB)
vlan1 Link encap:Ethernet HWaddr BC:AE:C5:E8:2B:72
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:5125335 errors:0 dropped:0 overruns:0 frame:0
TX packets:6732029 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3654686593 (3.4 GiB) TX bytes:3092936664 (2.8 GiB)
vlan2 Link encap:Ethernet HWaddr BC:AE:C5:E8:2B:73
inet addr:98.228.254.52 Bcast:98.228.255.255 Mask:255.255.248.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7190398 errors:0 dropped:0 overruns:0 frame:0
TX packets:4818842 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:3021257256 (2.8 GiB) TX bytes:3392423965 (3.1 GiB)
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
119 10231 ACCEPT all -- tun11 * 0.0.0.0/0 0.0.0.0/0
14 1470 DROP all -- br0 * 0.0.0.0/0 98.228.254.52
393 163K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
19219 6264K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
11 861 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
42101 2556K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
4974 1716K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3269 2974K ACCEPT all -- tun11 * 0.0.0.0/0 0.0.0.0/0
11M 11G all -- * * 0.0.0.0/0 0.0.0.0/0 account: network/netmask: 192.168.1.0/255.255.255.0 name: lan
13009 5871K ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
122 5288 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
37051 2152K TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
11M 11G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5081 302K wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
20195 1208K wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
20300 1216K ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 3994 packets, 1258K bytes)
pkts bytes target prot opt in out source destination
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
2186 125K ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:49151
1054 79129 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.132 udp dpt:49151
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:8112
172 10288 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:443
5 358 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:993
1 52 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:5222
2 120 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:5269
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:25
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:110
4 240 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:26
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.115 tcp dpt:49491
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.115 udp dpt:49491
1610 83944 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:32400
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:465
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:587
3 168 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:22
29 1704 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.132 tcp dpt:80
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.136 udp dpt:88
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.136 tcp dpt:3074
0 0 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.136 udp dpt:3074
1 44 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.136 tcp dpt:53
14 1143 ACCEPT udp -- * * 0.0.0.0/0 192.168.1.136 udp dpt:53
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
Chain PREROUTING (policy ACCEPT 625 packets, 97194 bytes)
pkts bytes target prot opt in out source destination
5625 364K WANPREROUTING all -- * * 0.0.0.0/0 98.228.254.52
0 0 DROP all -- vlan2 * 0.0.0.0/0 192.168.1.0/24
Chain POSTROUTING (policy ACCEPT 174 packets, 10820 bytes)
pkts bytes target prot opt in out source destination
142 9572 MASQUERADE all -- * tun11 192.168.1.0/24 0.0.0.0/0
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:49151 to:98.228.254.52
0 0 SNAT udp -- * * 192.168.1.0/24 192.168.1.132 udp dpt:49151 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:8112 to:98.228.254.52
333 17356 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:443 to:98.228.254.52
63 5305 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:993 to:98.228.254.52
2 230 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:5222 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:5269 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:25 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:110 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:26 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.115 tcp dpt:49491 to:98.228.254.52
0 0 SNAT udp -- * * 192.168.1.0/24 192.168.1.115 udp dpt:49491 to:98.228.254.52
10 600 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:32400 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:465 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:587 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:22 to:98.228.254.52
111 6084 SNAT tcp -- * * 192.168.1.0/24 192.168.1.132 tcp dpt:80 to:98.228.254.52
0 0 SNAT udp -- * * 192.168.1.0/24 192.168.1.136 udp dpt:88 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.136 tcp dpt:3074 to:98.228.254.52
0 0 SNAT udp -- * * 192.168.1.0/24 192.168.1.136 udp dpt:3074 to:98.228.254.52
0 0 SNAT tcp -- * * 192.168.1.0/24 192.168.1.136 tcp dpt:53 to:98.228.254.52
0 0 SNAT udp -- * * 192.168.1.0/24 192.168.1.136 udp dpt:53 to:98.228.254.52
29907 1817K MASQUERADE all -- * vlan2 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 180 packets, 11182 bytes)
pkts bytes target prot opt in out source destination
Chain WANPREROUTING (1 references)
pkts bytes target prot opt in out source destination
4 172 DNAT icmp -- * * 0.0.0.0/0 0.0.0.0/0 to:192.168.1.1
2103 120K DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:49151 to:192.168.1.132
834 57491 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:49151 to:192.168.1.132
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8112 to:192.168.1.132
505 27636 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.132
68 5663 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 to:192.168.1.132
3 282 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5222 to:192.168.1.132
2 120 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5269 to:192.168.1.132
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.1.132
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.1.132
4 240 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:26 to:192.168.1.132
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:49491 to:192.168.1.115
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:49491 to:192.168.1.115
1633 85204 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:32400 to:192.168.1.132
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 to:192.168.1.132
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:587 to:192.168.1.132
3 168 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:192.168.1.132
140 7788 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.132
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:88 to:192.168.1.136
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3074 to:192.168.1.136
0 0 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:3074 to:192.168.1.136
1 40 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 to:192.168.1.136
14 1143 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.136
포트 포워딩이 더 이상 작동하지 않는다는 것은 사실이 아닙니다. 오히려 Ubuntu 서버의 응답이 VPN을 통해 라우팅되므로 Ubuntu 서버에 연결하려는 PC에 도달하면 초기 주소와 다른 IP 주소에서 전송됩니다. 메시지가 작성되었습니다. 명백한 보안 질문에 대해 모든 PC는 이러한 가짜 (?) 응답 패킷 을 삭제하도록 지시 받습니다.
따라서 기본 아이디어는 LAN이 VPN 외부에서 (Ubuntu 서버에서) 응답을 허용하도록하는 것입니다. 이를 위해서는 정책 라우팅 , 즉 소스 (목적지가 아님) IP 주소에 따라 두 개의 라우팅 테이블을 동시에 사용해야합니다. 정책 라우팅을 소스 라우팅 이라고도합니다 .
여기 에서 serverfault 사이트 의 Tomato 경로에서이를 수행하는 방법에 대한 명확한 지침을 찾을 수 있습니다 . 다음으로 시작하는 기여입니다. 나는 마침내 해냈습니다 . 나는 스레드가 부당하게 닫혔다 고 생각하며, 그 대신 기여가 상당히 유용합니다. 지침을 따르는 데 특정 문제가있는 경우 다시 방문하십시오.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다