Problema di port forwarding tramite vpn [risolto]

[jar5]

Ciao a tutti.

Allora la situazione è questa:

ho un server pubblico che è collegato ad un server interno a una LAN tramite una vpn. L'obbiettivo è di fare un port forwarding (es. la porta 80) dal server pubblico verso il server all'interno della LAN passando tramite la vpn.
I 2 server si pingano tranquillamente ma il problema è che i pacchetti di richiesta verso il server pubblico non riescono ad andare verso quello privato tramite la vpn.
Il tutto è fatto usando iptables con la seguente regola:

iptables -t nat -A PREROUTING -p tcp -i eth1 -d 217.*.*.153 --dport 80 -j DNAT --to 10.*.*.2

dove 217.*.*.153 è l'indirizzo del server pubblico e 10.*.*.2 è l'indirizzo della vpn appartenente al server privato.

Ho cercato un po' in giro ma mi pare di aver capito che la situazione sia un po' diversa rispetto a un normalissimo port forwarding verso un server all'interno di una LAN a causa della presenza della vpn (ma magari sbaglio... )

Sapreste aiutarmi?

[federico]

Prova un po' a controllare com ethereal o tcpdump che direzione prendono i pacchetti di risposta http dalla tua macchina verso l'esterno.
Fede
_________________
Sideralis www.sideralis.org
Pic http://blackman.amicofigo.com/gallery
Arduino http://www.arduino.cc
Chi aveva potuto aveva spaccato
2000 pezzi buttati là
Molti saluti,qualche domanda
Semplice come musica punk

[jar5]

mmm... ok provo a vedere che dice ethereal però ho visto con tcpdump che non arriva neanche la richiesta..

Però non ho spiegato una cosa:

i due server sono così messi:

Server pubblico:
eth1 --> 217.*.*.153 -->Interfaccia rivolta verso l'esterno(Internet)
tap0 --> 10.0.0.1 --> Interfaccia della vpn rivolta verso il server privato

Server privato:
tap --> 10.0.0.2 --> Interfaccia della vpn rivolta verso il server pubblico (oltre ovviamente ad avere eth0 come interfaccia fisica )

Come detto i ping funzionano però facendo delle prove ho notato che se sul server pubblico metto un daemon di apache in ascolto sull'indirizzo privato della vpn (10.0.0.1) e utilizzando la regola che ho postato prima(cambiando il 10.0.0.2 finale con 10.0.0.1), il server pubblico riponde correttamente mentre se reindirizzo la connessione verso il server privato (10.0.0.2), che è quello che dovrei fare, torna a non funzionare.

Vabbè intanto provo ethereal.

Grazie per la risposta

[comio]

[jar5]

ho provato con le tue regole sostituendo al tuo 192.168.55.154 il mio 217.*.*.153 e al tuo 192.168.100.2 il mio 10.0.0.2 però purtroppo ancora non funziona.

Mi sembra di aver capito però che tu hai una LAN vera e propria mentre nel mio caso la LAN è formata da una vpn tra 2 host con connessione diretta tra di loro (diretta nel senso che ci sono solo loro 2 sulla vpn).

Non saprei ma ci sono differenze nel redirigere pacchetti usando una LAN rispetto ad usare una vpn? Comincio a pensarlo...

[makoomba]

fare solo DNAT non basta perchè i pacchetti che arrivano al server privato tramite vpn conservano il loro ip sorgente.
la risposta di apache utilizzerà il default gateway della macchina 10.0.0.2 (probabilmente un router/modem), "uscendo" su internet con l'indirizzo pubblico del gateway stesso.

hai due possibilità:
1 - fare anche SNAT sulla vpn (lato server pubblico) in modo che l'ip sorgente delle richieste risulti essere 10.0.0.1
2 - fare source routing sul server privato, imponendo che il traffico con ip sorgente 10.0.0.2 abbia come gateway la vpn.

c'è un 3d recente nel forum in cui ne abbiamo parlato, lì troverai maggiori dettagli.
_________________
When all else fails, read the instructions.

[jar5]

mmm..... si capisco però al momento il problema sembra essere che neanche i pacchetti di richiesta riescano ad arrivare al server privato con quella singola regola (anche se insufficiente per far funzionare il tutto ma almeno la richiesta dovrebbe arrivare, o sbaglio?).
Se mi metto in ascolto sull'interfaccia della vpn del server privato (tap0 --> indirizzo 10.0.0.2) ad esempio con tcpdump non arriva nessun pacchetto ma proprio nessuno!

[makoomba]

[jar5]

Si riesco a rilevarlo, ad esempio se dal pubblico faccio "links 10.0.0.2" la pagina viene aperta.

[makoomba]

l'ip forwarding è abilitato sul server pubblico ?
_________________
When all else fails, read the instructions.

[jar5]

sul pubblico c'è questo:

[makoomba]

posta

[jar5]

si il forward è attivo :

[makoomba]

mmm...
hai altre regole nel firewall ?
sul pubblico, dai

[jar5]

No per il momento ho tolto tutte le regole per fare queste prove sul forwarding eccetto quella per il DNAT.

[makoomba]

[jar5]

si scusa ho fatto delle prove ma poi l'ho ricambiato in 10.0.0.2 ma non funziona cmq, ho già provato

[jar5]

il problema sembra essere che i due host della vpn comunicano tranquillamente ma sembra che il server pubblico non riesca a girare i pacchetti dalla eth1 alla tap0

[makoomba]

ok, metti tcpdump in ascolto su eth1 del server pubblico, fai un test (dall'esterno) e posta l'output.
poi mettilo su tun0 sempre sul pubblico, rifai il test e posta anche quello
e già che ci sei, posta pure route -n

edit
su tap0, non tun0
_________________
When all else fails, read the instructions.

[jar5]

Allora allora:

Sul server pubblico:

[makoomba]

[jar5]

Nella prima risposta mi hai detto:

[makoomba]

[jar5]

Si infatti ti chiedo scusa ti ho fatto la domanda senza aver visto il tuo edit

In effetti ora con quella regola funziona tutto alla grande!
Ti dovrebbero fare un statua

Grazie a tutti quelli che sono intervenuti in mio soccorso

Ciao e grazie

[makoomba]

_________________
When all else fails, read the instructions.