Используя SSH, когда позади VPN

Question 1

У меня есть сервер (192.168.1.1), что я использую в качестве шлюза маршрутизатора/значения по умолчанию. Этот сервер подключает к openvpn и маршрутам всю сеть через этот vpn прежде, чем отправить (зашифрованный) на модем (192.168.1.254). У меня есть передача настроенного порта так, чтобы соединения SSH на моем общедоступном IP были направлены к серверу. IP от vpn не может использоваться для соединения с сервером.

Каждый раз, когда я разъединяю vpn, я могу получить доступ к серверу с SSH от удаленного местоположения, но при маршрутизации через VPN это невозможно. Это все кажется логичным, поскольку сервер пытается ответить от другого IP.

То, чего я желаю, хотят сервер, продолжает направлять мой трафик LAN через VPN, но принимает SSH на моем общедоступном IP. Таким образом, если Вы будете, направляя весь трафик с модема на сервер и назад к модему снова. Я мог затем указать правила о сервере, которые только позволяют соединения SSH. Другой, возможно, более оптимальный вариант состоит в том, что только SSH (22) направляется через модем. Проблема состоит в том, что я не могу получить эту маршрутизацию с модема на сервер и назад снова работать.

Что я попробовал:

Я нашел этот источник, где они предлагают следующее:

ip rule add from 192.168.1.1 table 128
ip route add table 128 to 192.168.1.0 dev eth0
ip route add table 128 default via 192.168.1.254

Который испытывает желание отменять весь предыдущий vpn маршрутизация, я сделал прежде. Каждый раз, когда я делаю это, я могу все еще получить доступ к серверу от удаленного местоположения, но VPN не будет больше работать.

Question 2

У меня есть решение, которое не делает точно, что я хочу, но возможно оно выручит некоторых людей. Вы, по крайней мере, сможете получить доступ к серверу от удаленного местоположения, в то время как это находится позади VPN.

то, Что Вы могли сделать, настраивается обратный туннель SSH к другому серверу не позади VPN, или используйте сервис, который обеспечивает туннели такой как openport. Эти сервисы легко настроить, но не позволят Вам использовать свой собственный IP (и часто порт) для соединения.

Question 3

Question 4

Я попытался бы дурачиться с iptables на сервере.

я использую openvpn и использую следующие команды для контакта с ssh:

А ВВОДЯТ-s 17#.48.#.##/32-i eth0-p tcp-m tcp - dport 22-j ПРИНИМАЕТ

ВХОДНОЙ-i tun0-p tcp-m tcp А - dport 22-m iprange - src-диапазон, который 10.8.0.1-10.8.0.24-j ПРИНИМАЮТ

, Где первое правило позволяет только от моего исходного IP (основная рабочая станция)

, и второе позволяет от любого устройства, подключенного к vpn, поэтому если я могу соединиться со своим vpn, я могу соединиться с ssh независимо от устройства.

прием, который я нашел, использует существование/dev/tun0 в ваших интересах как очень немного устройств (Ваш), имейте доступ к нему.

я не эксперт, и я не уверен в возможных угрозах безопасности этих правил, но они работают на меня. Возможно, тонкая настройка их немного получит Вас, в чем Вы нуждаетесь.

Не уверенный, если это точно, что Вы ищете, но я надеюсь, что это помогает.

Jorden van Breemen · Answer 1 · 8 December 2019 в 08:10