[Guida] Come ottenere un IP pubblico con qualsiasi connessione 3G/4G

[OUTATIME]

Ma hai seguito la guida in prima pagina per la configurazione di openvpn?
Altra cosa, mi fai un ip address show sul client?

[lucadigiulio]

Ho resettato il server e sono ripartito da zero.
Ho provato a seguire alla lettera la tua guida, ma manca completamente della parte su come configurare il server openvpn.
Tu parli di un file .ovpn da rinominare in .conf ma non avendo nessun file devo costruirmelo, in quanto è il server che insieme al certificato crea il file .ovpn con tutti i parametri di configurazione dei clients...
Quindi ora ricordo come mai avevo cercato altre fonti ed avevo creato il dispositivo TAP anzichè TUN come invece risulta a te...
Hai indicazioni più precise ?

Io avevo configurato così.

Server:

Codice:

dev tap
lport 1194
ifconfig 10.0.0.1 255.255.255.0
secret /etc/openvpn/benjo.key	
verb 9

Client:

Codice:

remote 89.*.*.*
dev tap 
rport 1194shared-keys
ifconfig 10.0.0.2 255.255.255.0
secret /etc/openvpn/benjo.key	
verb 9

Ora invece indicami come devo configurare.
Considera però che vorrei utilizzare un certificato e non la key.

[tolwyn]

ho perso un passaggio: su quale distro stai affrontando la configurazione ovpn?

[lucadigiulio]

SERVER: Debian 9.8 x64
CLIENT: Raspbian Stretch Full 2019-04-08 (basato sull'ultimo Debian 9 uscito)

[tolwyn]

beh allora per quanto riguarda l'installazione/configurazione ovpn perché non ti semplifichi la vita con un ottimo script tipo https://github.com/Nyr/openvpn-install ?

e parti da lì per raffinare eventualmente i parametri dei file conf lato server e lato client, per poi passare alle impostazioni iptables & co.

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Ho resettato il server e sono ripartito da zero.
Ho provato a seguire alla lettera la tua guida, ma manca completamente della parte su come configurare il server openvpn.
Tu parli di un file .ovpn da rinominare in .conf ma non avendo nessun file devo costruirmelo, in quanto è il server che insieme al certificato crea il file .ovpn con tutti i parametri di configurazione dei clients...
Quindi ora ricordo come mai avevo cercato altre fonti ed avevo creato il dispositivo TAP anzichè TUN come invece risulta a te...
Hai indicazioni più precise ?

Momento... La guida di pag. 1 parte dal presupposto di avere O un provider VPN O un server openvpn funzionante. Ti ho detto di guardare pag 1 perchè tu avevi detto che la vpn era funzionante e il problema era su iptables.
Appena riesco farò anche la guida per la parte server, ma ti preavviso che userò l'interfaccia tun.

[tolwyn]

outatime senza nulla togliere alla tua buona volontà impegno e competenza, se hai voglia dai un occhio allo script che ho linkato (provandolo magari in una vm), io lo uso da tempo e il risultato secondo me è abbondantemente sufficiente per poter poi procedere con le spalle coperte nel resto della configurazione (iptables & co) senza nessun'altra modifica alla configurazione ovpn (vabeh io alcuni parametri nei conf server&client li ho cambiati, ma finezze opzionali), in questo modo si faciliterebbe ulteriormente il processo a beneficio dei meno smanettoni

[OUTATIME]

Quote:

Originariamente inviato da tolwyn

outatime senza nulla togliere alla tua buona volontà impegno e competenza, se hai voglia dai un occhio allo script che ho linkato (provandolo magari in una vm), io lo uso da tempo e il risultato secondo me è abbondantemente sufficiente per poter poi procedere con le spalle coperte nel resto della configurazione (iptables & co) senza nessun'altra modifica alla configurazione ovpn (vabeh io alcuni parametri nei conf server&client li ho cambiati, ma finezze opzionali), in questo modo si faciliterebbe ulteriormente il processo a beneficio dei meno smanettoni

Lo farò sicuramente

[lucadigiulio]

Bene...
OpenVpn configurato e funzionante (lo implementerò poi con TLS)

ip address show (SERVER):

Codice:

root@vps:~# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:50:56:94:14:8c brd ff:ff:ff:ff:ff:ff
    inet 89.*.*.*/24 brd 89.*.*.* scope global eth0
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 00:50:56:94:4e:bf brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 00:50:56:94:2e:c8 brd ff:ff:ff:ff:ff:ff
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 125.80.0.1 peer 125.80.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever

ip address show (CLIENT):

Codice:

root@raspberrypi:/home/pi# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether *:*:*:*:*:* brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.50/24 brd 192.168.5.255 scope global eth0
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether *:*:*:*:*:* brd ff:ff:ff:ff:ff:ff
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 125.80.0.50 peer 125.80.0.49/32 scope global tun0
       valid_lft forever preferred_lft forever

Ora si passa al forwarding tramite gli iptables (sul server devo configurare per instradare attraverso la VPN e sul client per far instradare verso la rete interna giusto?)

Tanto per vedere se funziona, di base vorrei connettermi al client in ssh attraverso l'ip pubblico del server... dritte?
Poi da lì dovrei riuscire a riadattarci le altre cose....

[OUTATIME]

Allora... prima cosa oscura gli IP pubblici dall'eth0 del server...

Ora abilita il forwarding tra le interfacce editando il file /etc/sysctl.conf e togli il commento dalla riga net.ipv4.ip_forward=1 Quindi:

Codice:

nano /etc/sysctl.conf

Dopo la modifica deve presentarsi cosi:

Codice:

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Ora applica le modifiche appena fatte:

Codice:

sysctl -p
sysctl --system

Adesso viene il difficile, visto che vuoi fare il forward proprio di una porta su cui è in ascolto il server (la 22), quindi ti consiglio di cambiare la SSH listening port sul client, quindi, installa sul server iptables-persistent, poi vai ad inserire nel file /etc/iptables/rules.v4 queste regole:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT  -i lo -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5422 -j DNAT --to-destination 125.80.0.50
-A POSTROUTING -s 125.80.0.50/32 -o eth0 -j MASQUERADE
COMMIT

Le prime due regole consentono il traffico già stabilito tra le due interfacce tun0 ed eth0, in entrambe le direzioni, la regola di loopback ho trovato varie discussioni che indicano di metterla, ma non ho trovato differenze di sorta, ad ogno modo valuta tu.
Nella sezione NAT trovi le regole specifiche per il tuo client: la prerouting ti consente il forward di una porta (ho preso ad esempio la 5422, visto che la 22 non la puoi usare) verso il tuo IP VPN 125.80.0.50, la postrouting consente all'IP VPN 125.80.0.50 di navigare attraverso la eth0 del server.
In questo modo sarai in grado di accedere alla porta 5422 del client VPN. Una volta che questo giro funziona, passiamo a inoltrare delle altre porte verso altri client.

Se lo ritieni opportuno, io prima nella sezione filter, prima del commit ho inserito anche queste regole di sicurezza, visto che il server è direttamente esposto su internet:

Codice:

-A INPUT -p icmp -j DROP
-A INPUT   -s 192.168.0.0/16 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth0 -j DROP
-A INPUT   -s 172.16.0.0/12  -i eth0 -j DROP
-A FORWARD -s 172.16.0.0/12  -i eth0 -j DROP
-A INPUT   -s 10.0.0.0/8     -i eth0 -j DROP
-A FORWARD -s 10.0.0.0/8     -i eth0 -j DROP

Che servono per impedire il ping sull'IP pubblico e rifiutare tutte le connessioni sull'eth0 che provengono da IP chiaramente spoofati, poichè è impossible ricevere chiamate da IP privati sull'interfaccia pubblica.

Anzi... riguardo quest'ultima configurazione, se qualcuno conosce altre configurazioni da aggiungere per aumentare la sicurezza, sarebbe il benvenuto....

[lucadigiulio]

Ciao e grazie.

Mi serve avere un'opzione che gira direttamente una porta su un'altra.
Per esempio:
SSH [ip pubblico server]:5422 ---> 125.80.0.50:22
Così funziona?

Codice:

-A PREROUTING -i eth0 -p tcp -m tcp --dport 5422 -j DNAT --to-destination 125.80.0.50:22

senza il bisogno di mettere in ascolto ssh un'altra porta sul client.
Alla fine, per 3 macchine all'interno della rete del client avrò bisogno di fare questo:
SSH [ip pubblico server]:7722 ---> [ip vpn client]:7722 ---> [ip interno rete client]:22
cioè:
SSH 89.*.*.*:7722 ---> 125.80.0.50:7722 ---> 192.168.5.5:22
Quindi dovrò giocarmela bene anche con iptables sul client.....
Ok ora faccio un po di prove.
Poi, nell'ultimo esempio che hai indicato, non capisco cosa c'entra quella configurazione con la mia (classi 172.16 , 192.168 e 10.0) ???

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Poi, nell'ultimo esempio che hai indicato, non capisco cosa c'entra quella configurazione con la mia (classi 172.16 , 192.168 e 10.0) ???

Ripeto, sono delle regole di sicurezza, a tua discrezione se inserirle oppure no.
Per quanto riguarda il PAT, la sintassi esatta ci devo guardare, a occhio dovrebbe andare bene quello che hai scritto.
Io ti consiglio di fare PAT a livello del server, e a livello del client solo NAT.

[lucadigiulio]

Allora, non mi funziona...

iptables SERVER:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 7722 -j DNAT --to-destination 125.80.0.50:22
-A POSTROUTING -s 125.80.0.50/32 -o eth0 -j MASQUERADE
COMMIT

iptables CLIENT:

Codice:

filter
:INPUT ACCEPT [2:492]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT

Putty sta lì e ci pensa una quindicina di secondi, poi dà errore di rete e va in timeout...

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Allora, non mi funziona...

Manca la regola di PAT inversa, perchè ovviamente la macchina linux risponde sulla 22, ma deve uscire sulla 7722, la regola dovrebbe essere:

Codice:

-A POSTROUTING -s 125.80.0.50:22 -j SNAT -–to-source eth0 --dport 7722

Domanda stupida e scontata... ma tu dopo la modifica del file dai il comando service netfilter-persistent restart, vero?

Se non funziona, inserisci nel forward il NEW.

Codice:

-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

[lucadigiulio]

Quote:

Originariamente inviato da OUTATIME

Domanda stupida e scontata... ma tu dopo la modifica del file dai il comando service netfilter-persistent restart, vero?

Sì certamente e faccio sempre anche un iptables -L per vedere le cose

Ora, aggiungendo sotto nat l'ultima regola che mi hai indicato, mi da questa risposta quando lancio il restart:

Codice:

root@bigbenjo:~# service netfilter-persistent restart
Job for netfilter-persistent.service failed because the control process exited with error code.
See "systemctl status netfilter-persistent.service" and "journalctl -xe" for details.

allora faccio come mi indica:

Codice:

root@bigbenjo:~# systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
   Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Sun 2019-04-21 13:51:24 BST; 1min 57s ago
  Process: 1509 ExecStop=/usr/sbin/netfilter-persistent stop (code=exited, status=1/FAILURE)
  Process: 1540 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=1/FAILURE)
 Main PID: 1540 (code=exited, status=1/FAILURE)

Apr 21 13:51:24 bigbenjo systemd[1]: Starting netfilter persistent configuration...
Apr 21 13:51:24 bigbenjo netfilter-persistent[1540]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start
Apr 21 13:51:24 bigbenjo netfilter-persistent[1540]: run-parts: /usr/share/netfilter-persistent/plugins.d/15-ip4tables exited with return code 2
Apr 21 13:51:24 bigbenjo netfilter-persistent[1540]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables start
Apr 21 13:51:24 bigbenjo netfilter-persistent[1540]: Warning: skipping IPv6 (no rules to load)
Apr 21 13:51:24 bigbenjo systemd[1]: netfilter-persistent.service: Main process exited, code=exited, status=1/FAILURE
Apr 21 13:51:24 bigbenjo systemd[1]: Failed to start netfilter persistent configuration.
Apr 21 13:51:24 bigbenjo systemd[1]: netfilter-persistent.service: Unit entered failed state.
Apr 21 13:51:24 bigbenjo systemd[1]: netfilter-persistent.service: Failed with result 'exit-code'.

Codice:

root@bigbenjo:~# journalctl -xe
Apr 21 15:04:25 bigbenjo systemd[1]: Starting netfilter persistent configuration...
-- Subject: Unit netfilter-persistent.service has begun start-up
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- Unit netfilter-persistent.service has begun starting up.
Apr 21 15:04:25 bigbenjo netfilter-persistent[1630]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start
Apr 21 15:04:25 bigbenjo netfilter-persistent[1630]: run-parts: /usr/share/netfilter-persistent/plugins.d/15-ip4tables exited with return code 2
Apr 21 15:04:25 bigbenjo netfilter-persistent[1630]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables start
Apr 21 15:04:25 bigbenjo netfilter-persistent[1630]: Warning: skipping IPv6 (no rules to load)
Apr 21 15:04:25 bigbenjo systemd[1]: netfilter-persistent.service: Main process exited, code=exited, status=1/FAILURE
Apr 21 15:04:25 bigbenjo systemd[1]: Failed to start netfilter persistent configuration.
-- Subject: Unit netfilter-persistent.service has failed
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- Unit netfilter-persistent.service has failed.
--
-- The result is failed.
Apr 21 15:04:25 bigbenjo systemd[1]: netfilter-persistent.service: Unit entered failed state.
Apr 21 15:04:25 bigbenjo systemd[1]: netfilter-persistent.service: Failed with result 'exit-code'.

Per chiarezza, attulmente iptables è così, ma non me lo accetta:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to-destination 125.80.0.50:22
-A POSTROUTING -s 125.80.0.50:22 -j SNAT -–to-source eth0 --dport 7722
-A POSTROUTING -o eth0 -s 125.80.0.0/24 -j MASQUERADE
COMMIT

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Ora, aggiungendo sotto nat l'ultima regola che mi hai indicato, mi da questa risposta quando lancio il restart:

Ho provato ora con il remote desktop la configurazione funzionante è la seguente:

Codice:

*nat
-A PREROUTING -i eth0 -p tcp -m tcp --dport 53389 -j DNAT --to-destination 10.8.0.6:3389
*filter
-A FORWARD -i eth0 -p tcp --dport 3389 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT

Quindi, nonostante la connessione da fare il forward arrivi sulla 53389, la regola è efficace se è indicata la porta di destinazione, quindi per tornare alla tua configurazione, quella funzioante dovrebbe essere:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to-destination 125.80.0.50:22
-A POSTROUTING -o eth0 -s 125.80.0.0/24 -j MASQUERADE
COMMIT

[lucadigiulio]

Io ti ringrazio e non capisco di quale sortilegio sono vittima, ma non funziona...

iptables SERVER (VPS cloud)

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to-destination 125.80.0.50:22
-A POSTROUTING -o eth0 -s 125.80.0.0/24 -j MASQUERADE
COMMIT

iptables CLIENT (Raspberry)

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

[OUTATIME]

Quote:

Originariamente inviato da lucadigiulio

Io ti ringrazio e non capisco di quale sortilegio sono vittima, ma non funziona...

iptables SERVER (VPS cloud)

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -i lo -j ACCEPT
-A f2b-ssh -j RETURN
-A f2b-sshd -j RETURN
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -p tcp --dport 22 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to-destination 125.80.0.50:22
-A POSTROUTING -o eth0 -s 125.80.0.0/24 -j MASQUERADE
COMMIT

iptables CLIENT (Raspberry)

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

Posso consigliarti di fare funzionare tutto prima con un semplice NAT e poi provare il PAT? Oltretutto stai provando a fare il PAT di una porta su cui è già in ascolto il server.

[lucadigiulio]

RISOLTO !!!

In pratica i pacchetti arrivavano a destinazione, ma si "perdevano" cercando di tornare indietro.
Questa la configurazione funzionante per collegarsi in SSH al ClientVPN ed in RDP ad una macchina interna alla rete del ClientVPN.
125.80.0.1 (IP TUN0 VPN_SERVER)
125.80.0.50 (IP TUN0 VPN_CLIENT)
192.168.5.50 (IP ETH0 VPN_CLIENT)

SERVER:

Codice:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-ssh - [0:0]
:f2b-sshd - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A f2b-ssh  -j RETURN
-A f2b-sshd -j RETURN
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT   -i eth0 -s 192.168.0.0/16 -j DROP
-A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
-A INPUT   -i eth0 -s 172.16.0.0/12  -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12  -j DROP
-A INPUT   -i eth0 -s 10.0.0.0/8     -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8     -j DROP
-A INPUT   -i eth0 -p icmp           -j DROP
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING  -i eth0 -p tcp --dport 7722 -j DNAT --to-destination 125.80.0.50
-A PREROUTING  -i eth0 -p tcp --dport 53389 -j DNAT --to-destination 125.80.0.50
-A POSTROUTING -o eth0 -s 125.80.0.0/24 -j MASQUERADE
-A POSTROUTING -d 125.80.0.50 -p tcp --dport 7722 -j SNAT --to-source 125.80.0.1
-A POSTROUTING -d 125.80.0.50 -p tcp --dport 53389 -j SNAT --to-source 125.80.0.1
COMMIT

CLIENT:

Codice:

filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT   -i lo -j ACCEPT
-A FORWARD -i tun0 -o eth0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING  -i tun0 -p tcp --dport 53389 -j DNAT     --to-destination 192.168.5.10:3389
-A PREROUTING  -i tun0 -p tcp --dport 7722 -j REDIRECT --to-port 22
-A POSTROUTING -d 192.168.5.10  -p tcp --dport 3389 -j SNAT --to-source 192.168.5.50:53389
COMMIT

[OUTATIME]

Aggiornata la guida di pagina 1 con la configurazione completa di un server VPS.
Ringrazio pilatoroma per avermi fatto conoscere il mondo dei VPS (che conoscevo, ma ignoravo avessero prezzi così competitivi).