- Пробросить порт в OpenVPN подсеть, reader, 22:41 , 28-Май-13 (1)
>[оверквотинг удален] > eth0 - реальный ип 123.123.123.123 > eth1 - локальный ип 192.168.70.1 > tun0 - IP OpenVPN тунеля 10.9.0.14 который позволяет общаться с под сетью > филиала 192.168.2.0/24 > Необходимо: > Что бы при открытии 123.123.123.123 (реальный ип ЦО) открывался веб ресурс 192.168.2.10 > (сервер в филиале). > Второй день бьюсь над этой задачей и ничего не выходит. Делаю так: > $IPT -t nat -A PREROUTING --dst 123.123.123.123 -p tcp --dport 80 -j > DNAT --to-destination 192.168.2.10 на шлюзе в ЦО маршрут к 192.168.2.0/24 есть? > iptables -t nat -A POSTROUTING --dst 192.168.2.10 -p tcp --dport 80 -j > SNAT --to-source 192.168.70.1 в 192.168.2.0/24 маршрут к 192.168.70.1 есть? > iptables -t nat -A OUTPUT --dst 123.123.123.123 -p tcp --dport 80 -j > DNAT --to-destination 192.168.2.10 > $IPT -I FORWARD 1 -i eth0 -o eth1 -d 192.168.2.10 -p tcp > -m tcp --dport 80 -j ACCEPT если 192.168.2.10 за tun0, то почему -o eth1? для ответных пакетов разрешение есть? OpenVPN о 192.168.2.0/24 знает (iroute), если сервер OpenVPN в ЦО конечно? может с tap начинать будет проще?
- Пробросить порт в OpenVPN подсеть, PavelR, 08:26 , 29-Май-13 (2)
>может с tap начинать будет проще?Надо начинать с освоения команды tcpdump и напряжения мозга знаниями о том, почему и как бегают IP-пакетики. Затем освоить тему "линукс и два провайдера" и провести по ней практическое занятие на сервере филиала.
- Пробросить порт в OpenVPN подсеть, mr_noname, 08:31 , 15-Июн-13 (3)
> $IPT -t nat -A PREROUTING --dst 123.123.123.123 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.10 > iptables -t nat -A POSTROUTING --dst 192.168.2.10 -p tcp --dport 80 -j SNAT --to-source 192.168.70.1 > iptables -t nat -A OUTPUT --dst 123.123.123.123 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.10 > $IPT -I FORWARD 1 -i eth0 -o eth1 -d 192.168.2.10 -p tcp -m tcp --dport 80 -j ACCEPT Третья строчка лишняя. Вроде DNAT для OUTPUT вообще не делают. Ну и поддерживаю вышесказанное: - доступен ли на данный момент 192.168.2.10 с 192.168.70.1? - что выдаёт tcpdump на маршрутизаторе в ЦО, маршрутизаторе в филиале, на веб сервере? --- Ещё как вариант в такой схеме (если отпадёт желание разбираться с NAT) можно поставить реверс-прокси. Какой-нибудь squid или nginx. Для них несложно найти типовые конфиги из серии копировал-вставил-подписал нужные адреса.
- Пробросить порт в OpenVPN подсеть, ALex_hha, 19:48 , 25-Июн-13 (4)
> Третья строчка лишняя. Вроде DNAT для OUTPUT вообще не делают.ошибаетесь, делают для локально сгенерированных пакетов например приходилось временно перенаправлять все ldap запросы на другой сервер (чтобы не менять настройки в 100500 сайтах) # iptables -t nat -I OUTPUT -p tcp -d 192.168.210.104 --dport 389 -j DNAT --to-destination 172.16.1.2:389
- Пробросить порт в OpenVPN подсеть, sovransky, 21:34 , 25-Июл-13 (5)
>[оверквотинг удален] > (сервер в филиале). > Второй день бьюсь над этой задачей и ничего не выходит. Делаю так: > $IPT -t nat -A PREROUTING --dst 123.123.123.123 -p tcp --dport 80 -j > DNAT --to-destination 192.168.2.10 > iptables -t nat -A POSTROUTING --dst 192.168.2.10 -p tcp --dport 80 -j > SNAT --to-source 192.168.70.1 > iptables -t nat -A OUTPUT --dst 123.123.123.123 -p tcp --dport 80 -j > DNAT --to-destination 192.168.2.10 > $IPT -I FORWARD 1 -i eth0 -o eth1 -d 192.168.2.10 -p tcp > -m tcp --dport 80 -j ACCEPT Добрый день! Такая же задача, уже всею голову сломал. Вам удалось победить?
|