|
Problem z IPTables - dostęp Z modemu DO sieci
|
| NeoX |
Dodano 13-03-2023 18:39
|
Power User
Posty: 317
Dołączył: 15/11/2006 13:44
|
Hej,
Mam taki problem, i generalnie potrzebuję pomocy z IPTables.
Chce uzyskać odwrotność Route Modem IP. Chodzi o to, że potrzebuję mieć możliwość połączenia Z modemu (który jest po stronie WAN, vlan2) DO urządzenia w mojej sieci (syslog server).
Nie bardzo potrafię to zrobić :/
Generalnie modem widzi tylko adres IP 192.168.100.2 (mój router, IP dla modemu).
Kombinuję jak koń pod górę, ale nie idzie:
iptables -A PREROUTING -t nat -i vlan2 -s 192.168.100.1 -j DNAT --to-destination 192.168.8.8
Ktoś pomoże? |
| |
|
|
| shibby |
Dodano 14-03-2023 07:40
|
SysOp
Posty: 16972
Dołączył: 15/01/2009 20:30
|
a próbowałeś zrobić po prostu Port Forwarding? 
Proxmox VE: i7-7700T, 32GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Mellanox ConnectX-3 dual SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
VM Backup: Proxmox Backup Server
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| NeoX |
Dodano 14-03-2023 10:45
|
Power User
Posty: 317
Dołączył: 15/11/2006 13:44
|
Pewnie, ze tak. Nie działa
Być może dlatego ze modem widzi inny adres IP routera niż wszyscy "publiczni". |
| |
|
|
| shibby |
Dodano 14-03-2023 11:34
|
SysOp
Posty: 16972
Dołączył: 15/01/2009 20:30
|
to napisz może jakie IP mają poszczególne urządzenie na WANie i LANie (które z urządzeń ma publiczne IP) i na jakim protokole skonfigurowane (dhcp, pppoe itd)
Proxmox VE: i7-7700T, 32GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Mellanox ConnectX-3 dual SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
VM Backup: Proxmox Backup Server
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| NeoX |
Dodano 14-03-2023 14:27
|
Power User
Posty: 317
Dołączył: 15/11/2006 13:44
|
Router do którego podłączony jest modem oraz server po ethernecie: 192.168.8.1
Mój WAN to klasyczne DHCP, żadne PPPoE, ot modem w bridge i DHCP po stronie routera.
Server syslog - 192.168.8.8
Modem: 192.168.100.1
Oczywiście widoczność z 192.168.8.X jest do modemu (192.168.100.1), natomiast modem ze względu na adresację widzi tylko 192.168.100.2 (Nadany IP routerowi w celu Route Modem IP).
Probowalem robić zwykły port forwarding i połączyć się modemem po podanym porcie na adresie 192.168.100.2 (bo taki widzi modem), ale nie działa  |
| |
|
|
| shibby |
Dodano 14-03-2023 16:24
|
SysOp
Posty: 16972
Dołączył: 15/01/2009 20:30
|
masz tam możliwość ustawienia trasy statycznej na modemie? Bo jak modem próbuje odwołać się do 192.168.8.x to chce wyjść swoim WANem bo tak go routing kieruje. Musisz mu powiedzieć, że do 192.168.8.x ma iść przez hosta 192.168.100.2 (czyli twój router)
Proxmox VE: i7-7700T, 32GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Mellanox ConnectX-3 dual SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
VM Backup: Proxmox Backup Server
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| NeoX |
Dodano 21-03-2023 14:14
|
Power User
Posty: 317
Dołączył: 15/11/2006 13:44
|
shibby napisał: ↑ masz tam możliwość ustawienia trasy statycznej na modemie? Bo jak modem próbuje odwołać się do 192.168.8.x to chce wyjść swoim WANem bo tak go routing kieruje. Musisz mu powiedzieć, że do 192.168.8.x ma iść przez hosta 192.168.100.2 (czyli twój router)
Z punktu widzenia WWW nie moge, ale przez CLI chyba moge:
# ip route add default via 192.168.100.2
# ip route
192.168.100.0/24 dev br0 proto kernel scope link src 192.168.100.1
127.0.0.0/24 dev lo scope link
default via 192.168.100.2 dev br0
Domyślnej trasy nie bylo, więc dodałem przez 100.2 (IP Routera).
Problem w tym, ze czy ja przypadkiem nie powinienem czegos dodac na routerze? |
| |
|
|
| shibby |
Dodano 22-03-2023 08:28
|
SysOp
Posty: 16972
Dołączył: 15/01/2009 20:30
|
no na routerze robisz port forwarding
a co do tras statycznych to ty nie miałeś ustawiać bramy domyslnej (a to zrobiłeś). Miałeś dodać osobny wpis by skierować połączenia do 192.168.8.0/24 przez 192.168.100.2. Druga sprawa takie dodanie ręczne prawdopodobnie zadziała tylko do czasu restartu modemu (wpis zniknie po restarcie).
Proxmox VE: i7-7700T, 32GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Mellanox ConnectX-3 dual SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
VM Backup: Proxmox Backup Server
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| NeoX |
Dodano 22-03-2023 13:48
|
Power User
Posty: 317
Dołączył: 15/11/2006 13:44
|
shibby napisał: ↑ no na routerze robisz port forwarding
a co do tras statycznych to ty nie miałeś ustawiać bramy domyslnej (a to zrobiłeś). Miałeś dodać osobny wpis by skierować połączenia do 192.168.8.0/24 przez 192.168.100.2. Druga sprawa takie dodanie ręczne prawdopodobnie zadziała tylko do czasu restartu modemu (wpis zniknie po restarcie).
Próbowałem oba rozwiązania, i oba nie działają. Oczywiście na routerze mam forwarding tak jak był
BTW uzywam netcata (nc) do testów, ale to chyba nie powinno mieć znaczenia.
Zastanawia mnie czy można jakoś na Tomato zdebugować co się dzieje z pakietem?
Po stronie servera tcpdump niestety twierdzi, ze nic nie dochodzi wiec wyglada na to, ze tomato musi go blokować. |
| |
|
|
| shibby |
Dodano 22-03-2023 15:09
|
SysOp
Posty: 16972
Dołączył: 15/01/2009 20:30
|
wróćmy do pierwotnej wersji. Przykład u mnie:
(IP LTE) [Router LTE] (LAN 192.168.111.1) ---> (WAN 192.168.111.236) [Router główny] (LAN 10.1.1.1) ----> (IP 10.1.1.10) [NAS]
Zarówno router LTE jak i Router główny u mnie są na OpenWRT. Robię na "Router główny" przekierowanie portu SSH na NAS z ograniczeniem tylko dla routera LTE (192.168.111.1) - nie chcę by de facto SSH było wystawione na świat.
Teraz jak z Routera LTE odwołam się na IP Routera głównego na zdefiniowany port (222, bo 22 miałem już zajęty), to Router główny przekieruje połączenie do NASa
Teraz zrób analogicznie u siebie, tj
1) na routerze 192.168.8.1 ustaw przekierowanie portu sysloga gdy źródłem jest modem (192.168.100.1).
2) na modemie wskaż serwer syslog na 192.168.100.2 i router przekieruje to połączenie do 192.168.8.8.
Proxmox VE: i7-7700T, 32GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Mellanox ConnectX-3 dual SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology DS920+
VM VPS: Debian, WWW, Home Assistant
VM Backup: Proxmox Backup Server
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| NeoX |
Dodano 23-03-2023 13:29
|
Power User
Posty: 317
Dołączył: 15/11/2006 13:44
|
shibby napisał: ↑ wróćmy do pierwotnej wersji. Przykład u mnie:
(IP LTE) [Router LTE] (LAN 192.168.111.1) ---> (WAN 192.168.111.236) [Router główny] (LAN 10.1.1.1) ----> (IP 10.1.1.10) [NAS]
Zarówno router LTE jak i Router główny u mnie są na OpenWRT. Robię na "Router główny" przekierowanie portu SSH na NAS z ograniczeniem tylko dla routera LTE (192.168.111.1) - nie chcę by de facto SSH było wystawione na świat.
Teraz jak z Routera LTE odwołam się na IP Routera głównego na zdefiniowany port (222, bo 22 miałem już zajęty), to Router główny przekieruje połączenie do NASa
Teraz zrób analogicznie u siebie, tj
1) na routerze 192.168.8.1 ustaw przekierowanie portu sysloga gdy źródłem jest modem (192.168.100.1).
2) na modemie wskaż serwer syslog na 192.168.100.2 i router przekieruje to połączenie do 192.168.8.8.
Zrobiłem takie przekierowanie, dosyć proste:
I testuje to netcatem:
# nc 192.168.8.8 9999
test
Server ~ # nc -v -v -l -p 9999
listening on [any] 9999 ...
Ale coś tu nie do końca gra :/
Routing po stronie modemu jest taki:
# ip route
192.168.100.0/24 dev br0 proto kernel scope link src 192.168.100.1
127.0.0.0/24 dev lo scope link
192.168.8.0/24 via 192.168.100.2 dev br0
NeoX załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez NeoX dnia 23-03-2023 13:49
|
| |
|
' target='_blank'>Link
