LINUX Routing von VPN-Verkehr für einen bestimmten Port zum Host im lokalen Netzwerk

526
Dapinder

Ich verbinde mein Linux L1 mit dem VPN, um eine öffentliche statische IP 117.xxx.xxx.xxx zu erhalten. Diese L1-Maschine hat nur eine Ethernet-Schnittstelle eth0 mit IP 192.168.1.130, und VPN ist angeschlossen, um die Schnittstelle ppp0 zu erstellen. Ich möchte Remote-Desktop mit Port 3389 auf einem Host (IP 192.168.1.100) ausführen, der über einen Router mit der Linux-Box verbunden ist. Ich weiß, dass es mit NAT funktioniert, aber ich bekomme keine richtigen Befehle.

VPN IP pingt aus dem Internet. Anschließen des Verbindungsdiagramms als Referenz. Bitte helfen Sie mir mit Ihren Eingaben.

ETH 0 inet 192.168.1.130 netmask 255.255.255.0 broadcast 192.168.1.255 Gateway 192.168.1.1  VPN inet 172.xxx.xxx.xxx netmask 255.255.255.255 destination 192.253.242.4 

Netzwerk

0
Bitte klären Sie noch etwas mit einem [edit] Ihrer Frage. Die "* ich möchte *" -Sprache muss geklärt werden, ich denke ... Sie wollen über 3389 RDP auf welchem ​​Rechner und auf welchem ​​Subnetz RDP 'und dann auf welchem ​​Rechner und auf welchem ​​Subnetz genau RDP'? Stellen Sie sicher, dass Sie aus diesem Teilnetz kommen und über den TCP-Port 3389 oder was auch immer zu diesem Teilnetz gehen. Richtet Ihre VPN-Verbindung alle lokalen Subnetze an das Gateway oder etwas, und Sie möchten dem lokalen Subnetz, das keine VPNs ist, eine statische Route mit höherem Präzedenzfall geben, um möglicherweise auf das Gateway zu verweisen. Pimp Juice IT vor 5 Jahren 1
Bitte lassen Sie mich wissen, wenn weitere Informationen benötigt werden Dapinder vor 5 Jahren 0
Sie sagen "* Ich möchte Remote-Desktop mit Port 3389 auf einem Host (IP 192.168.1.100), der über einen Router mit der Linux-Box verbunden ist." "" Okay, aus dem Subnetz "192.168.1.x" haben Sie einen Host `192.168.1.100`, das zu RDP an was geht? Du brauchst es zu RDP auf den `192.168.1.130`-Host, wenn es mit dem VPN verbunden ist oder so oder was genau? Ich versuche, das Bild so zu malen, wie all dies mit dem VPN und dem RDP-Zugriff zusammenhängt und solche und die wörtlichen Besonderheiten, während dieser Host x ist. Dann muss ich RDP von x bis x verwenden, während es x oder was auch immer ist. Siehst du was ich sage? Pimp Juice IT vor 5 Jahren 0
Vielleicht würde ein Diagramm hilfreich sein, wenn Sie etwas haben, aber ich denke, es muss für den Ausgangspunkt und die Besonderheiten des Datenverkehrs geklärt werden. Außerdem müssen Sie wissen, was Sie benötigen, um wo Sie hinfahren oder über das VPN laufen. Ich verstehe die int-Konfigurationen und helfe mir zu verstehen, von wo und wohin Sie den Verkehr weiterleiten müssen Pimp Juice IT vor 5 Jahren 0
Ich habe das Diagramm angehängt. Der Datenverkehr beginnt mit der VPN-IP-Adresse. Ich verwende die VPN-IP 117.xxx.xxx.xxx vom Internet zu RDP auf dem Host mit der IP 192.168.1.100. Wenn ich also RDP mit IP 117.xxx mache, sollte diese Verbindung an den Host 192.168.1.100 weitergeleitet werden Dapinder vor 5 Jahren 0

1 Antwort auf die Frage

0
grawity

Beginnen Sie mit einer einfachen DNAT (Portweiterleitung):

-A PREROUTING -d 117.xxx.xxx.xxx -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.100 -A PREROUTING -d 117.xxx.xxx.xxx -m udp --dport 3389 -j DNAT --to-destination 192.168.1.100 

(Modernes RDP verwendet sowohl TCP- als auch UDP-Transporte.)

Der RDP-Server muss jedoch auch den Linux-Router als Standardgateway verwenden. Solange der Server einfach Ihren Haupt-LAN-Router verwendet, werden seine Antworten an Clients an die falsche Quell-IP-Adresse NAT-adressiert. (Das heißt, obwohl Clients Verbindungsanfragen an 117.xxx.xxx.xxx senden, erhalten sie eine Antwort von Ihrer WAN-Haupt-IP-Adresse und sind sehr verwirrt.)

Wenn schließlich der Linux - Router macht diese Antworten empfangen und übersetzt sie richtig, braucht es noch zu wissen, dass sie über das VPN gesendet werden soll. Wenn Ihr VPN-Client bereits so konfiguriert ist, dass er die Standardroute überschreibt, müssen Sie nichts weiter tun. (Andernfalls müssen Sie Regeln für das Richtlinienrouting hinzufügen.)

Fehlt etwas, wird ein Fehler iptables: Keine Kette / Ziel / Übereinstimmung mit diesem Namen. Dapinder vor 5 Jahren 0
Iptable sieht wie folgt aus. Note hat die Host-IP-Adresse in 192.168.1.25 geändert. Chain PREROUTING (Policy ACCEPT) -Ziel für das Ursprungsziel DNAT udp - 0.0.0.0/0 172.xxx udp dpt: 3389 bis: 192.168.1.25 DNAT tcp - 0.0 0,0 / 0 172.xxx DC-Code: 3389 bis: 192.168.1.25 Dapinder vor 5 Jahren 0