Rozdzielenie konkretnych us

[dzwigar]

Witam wszystkich.

Posiadam serwer na Debianie, który ma dwie usługi uruchomione. Chciałem aby jedna usługa na porcie 80 przechodziła przez bramę rutera, a druga usługa na porcie 2000 przechodziła przez bramę tunelu vpn.

Dodam, że na serwerze mam dwa interfejsy sieciowe podpięte do rutera i dla nich jest wspólna brama rutera 192.168.1.1.

Nie chcę aby wszystko przechodziło przez tunel vpn, który podniosę.

Mój cel to:

Kod: Zaznacz cały

www (80)    --> eth0 --> 192.168.1.10 -->  nat --> WAN
ftp  (2000)  --> eth1  -->XX.XX.XX.XX --> vpn --> WAN

Proszę Was o pomoc, jak to wszystko rozdzielić?

[Bastian]

W pierwszej kolejności musisz zestawić VPN na serwerze. Nie wiem jaką metodę obierzesz (OpenVPN, Ipsec [OpenSwan]) ale generalnie jak już będziesz miał dedykowany interfejs dla VPN, to w ustawieniach ftp (Virtualhoscie zapewne) zmieniasz IP, na którym ta usługa pracuje na jakiś pochodzący z sieci VPN. Wówczas (przy założeniu, że ruting masz dobrze zestawiony) cały ruch ftp idzie przez VPN.

[dzwigar]

Dziękuję za zainteresowanie.

Jak podniosę VPN to tracę połączenie z serwerem FTP.

To jest moja sieć i cel.

Załącznik Rysunek1.jpg nie jest już dostępny

[Bastian]

FTP przekonfigurowałeś, żeby nasłuchiwało na adresie z puli VPN?

[dzwigar]

Jak ja podniosę połączenie openvpn to mam możliwość tylko łączenia się z zewnątrz za pomocą adresu IP tunelu.
A przez adres IP dostawcy internetu już nie i tu jest problem.

[Bastian]

Tak, jeśli ftp pracuje na adresacji z VPN, to usługa nie jest dostępna z zewnątrz tylko z hostów podpiętych do sieci VPN. Nie o to chodziło?

[dzwigar]

Moim celem jest to, że jak podniosę vpn na serwerze to chcę mieć też dostęp przez mojego dostawcę internetu na drugim zewnętrznym adresie IP.

[Bastian]

Ale dostęp do czego? Domyślnie jest tak z tego co pamiętam w OpenVPN, że ruch wychodzi bramą domyślną a tylko ruch z puli adresów prywatnych przechodzi przez interfejs VPN. Pokaż tablice rutingu tam gdzie masz uruchomione te usługi (ftp i http) to będziemy wiedzieć, gdzie co idzie.

Kod: Zaznacz cały

 ip r

[dzwigar]

To jest serwer, na którym mam www, ftp i podniesiony openvpn.

Kod: Zaznacz cały

root@server1:~# ifconfigeth0      Link encap:Ethernet  HWaddr 00:08:9b:c6:3e:51
          inet addr:192.168.1.10  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::208:9bff:fec6:3e51/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41846 errors:0 dropped:4 overruns:0 frame:0
          TX packets:42945 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:5874093 (5.6 MiB)  TX bytes:38590281 (36.8 MiB)
          Interrupt:19 Memory:feae0000-feb00000


eth1      Link encap:Ethernet  HWaddr 00:08:9b:c6:3e:50
          inet addr:192.168.1.18  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::208:9bff:fec6:3e50/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:965 errors:0 dropped:95 overruns:0 frame:0
          TX packets:4280 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:107947 (105.4 KiB)  TX bytes:2667117 (2.5 MiB)
          Interrupt:16 Memory:febe0000-fec00000


lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:132 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:10636 (10.3 KiB)  TX bytes:10636 (10.3 KiB)


tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.4.20.158  P-t-P:10.4.20.157  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)


root@server1:~# ip r
0.0.0.0/1 via 10.4.20.157 dev tun0
default via 192.168.1.1 dev eth0
10.4.0.1 via 10.4.20.157 dev tun0
10.4.20.157 dev tun0  proto kernel  scope link  src 10.4.20.158
95.211.191.33 via 192.168.1.1 dev eth0
128.0.0.0/1 via 10.4.20.157 dev tun0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.10
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.18
root@server1:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.4.20.157     128.0.0.0       UG    0      0        0 tun0
default         Vigor.rootload. 0.0.0.0         UG    0      0        0 eth0
10.4.0.1        10.4.20.157     255.255.255.255 UGH   0      0        0 tun0
10.4.20.157     *               255.255.255.255 UH    0      0        0 tun0
95.211.191.33   Vigor.rootload. 255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.4.20.157     128.0.0.0       UG    0      0        0 tun0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
root@server1:~#

[Bastian]

Zamiast bramy domyślnej:

Kod: Zaznacz cały

0.0.0.0/1 via 10.4.20.157 dev tun0

można podać podsieć VPN

Kod: Zaznacz cały

10.4.20.xx/xx via 10.4.20.157 dev tun0