Tüm trafiği eth0'a gönder, eth1'e tüm trafiği al, eth1 üzerinden ssh erişimi hariç

1

Sahibim:

  • 10.0.0.41 ile halka açık IP 54.xxx'e sahip olan eth0 arabirimi (VPN istemcisi için kullanılacak)
  • kamu ip 57.xxx olan 10.0.0.100 ile eth1 arabirimi

eth1, SSH kullanarak uzaktan bağlandığımda eth0, VPN IPsec olarak başka bir sunucuya bağlanacak

çünkü benim varsayılan yönlendirme eth1, VPN'e bağlanırken başarısız oluyor, VPN sunucusunun sadece IP 54.xxx'in 57.xxx'ten gelen trafiğe izin vermemesine neden oluyor

Şimdi, yönlendirmeye VPN sunucusuna giden tüm trafiğin: 212.xxx'e eth0 (54.xxx) aracılığıyla gönderileceğini ve SSH uzaktan erişim için hala eth1 (57.xxx) gönderildiğini nasıl söyleyebilirim?

DÜZENLE:

görüntü tanımını buraya girin

EDIT: amazon, 2 ağ arabirimime 2 farklı alt ağ kamu ipi almamı sağlıyor. hayır gibi görünüyor

görüntü tanımını buraya girin görüntü tanımını buraya girin görüntü tanımını buraya girin görüntü tanımını buraya girin

EDIT: Amazon EC2 - Çoklu alt ağlara sahip VPC

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html

Senaryo 1: Yalnızca Genel Alt Ağ İçeren VPC - 1 alt ağ http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario1.html

Senaryo 2: Genel ve Özel Alt Ağlara sahip VPC - 2 alt ağ http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

Senaryo 3: Genel ve Özel Alt Ağlara ve Donanımlara Sahip VPC VPN Erişimi - 3 alt ağ http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario3.html

Senaryo 4: Yalnızca Özel Alt Ağ İçeren VPC ve Donanım VPN Erişimi http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario4.html

DÜZENLE:

Adım 1: Amazon EC2> Senaryo 1: Yalnızca Genel Bir Alt Ağla VPC - 1 alt ağ

Adım 2: 1: 1 NAT ile 10.0.0.0/24 alt ağına izin verir

Adım 3: Şimdi gelen ve giden trafiği by-pass yapmak için yapmalıyız:

ip rule add from 10.0.0.41/32 table 1 # outbound
ip rule add to 10.0.0.41/32 table 1   # inbound
ip route add default via 10.0.0.1 dev eth0 table 1

ip rule add from 10.0.0.100/32 table 2 # outbound
ip rule add to 10.0.0.100/32 table 2   # inbound
ip route add default via 10.0.0.1 dev eth1 table 2

Adım 4: uzaktaki bilgisayarın aşağıdakileri varsayarak uzaktan test etmesini sağlayın: iamremotely_publicip

ping publicip_eth0
ping publicip_eth1

Adım 5: gelen test

$ tcpdump -vv src iamremotely_publicip and not dst port 22 -i any

### inbound reply received for eth0
13:29:02.163426 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    2.205.81.5 > ip-10-0-0-41.eu-west-1.compute.internal: ICMP echo request, id 10242, seq 1, length 64

### inbound reply received for eth1
13:24:05.415740 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    2.205.81.5 > ip-10-0-0-100.eu-west-1.compute.internal: ICMP echo request, id 11808, seq 52, length 64

Adım 6: PC'de giden testi iamremotely_publicip

$ tcpdump -vv src publicip_eth0 and not dst port 22 -i any
$ tcpdump -vv src publicip_eth1 and not dst port 22 -i any

VPN olmadan çalışır.

linux  networking  ssh  vpn  routing 
Lezeetli lezzetli lezzetli
kaynak
1
Başlık, sorunuzla eşleşmiyor gibi görünüyor. İstediğiniz gibi görünüyor * sadece eth.'dan ve eth1'den başka her şeyden önce çıkan 212.xxx 212.xxx trafiği - bu, VPN'nin diğer sunucuya ve ssh'ye her yerden erişebilmesini sağlar.
Paul,
YumYumYum

Yanıtlar:

1

LAN'ınızın nasıl kurulduğu çok net değil ve oldukça kapalı görünüyor.

  • eth0 / 1'in parçası nedir? Bir DMZ'ed sunucu mu? Yoksa yerel LAN'ınızın varsayılan yönlendiricisi mi?

  • 54.xxx ve 57.xxx ile atanmış gerçek cihazlar hangileridir? 2 farklı fiziksel internet yönlendiricisi mi? Veya bu ana bilgisayardan PPP bağlantısı kuruldu mu?

  • Eth0'ın IP karşısında bir IPsec bağlantısı için ayrılmış bir arabirim olmasını istersiniz.

  • Eth0 uzak VPN ağına tahsis edilmiş bir VPN bağlantısı için kullanılıyorsa, neden 10.0.0.x yerel LAN alt ağına bağlı?

Eth0 ve eth1 için farklı bir alt ağ kullanmaya başladınız, aksi takdirde çok kafa karıştırıcıdır ve ana bilgisayar aynı alt ağ üzerinde olduklarını düşündüğü için her iki arayüzden de paketlerin gönderilmesi zorunludur. Eth0 yalnızca özel bir VPN bağlantısı için tasarlandıysa, ona 192.168.200.x gibi sahte bir alt ağ verir. Yerel ve uzak LAN ağınız asla bu alt ağa yönlendirilmemelidir, bu bağlantıyı yalnızca yerel özel IP'leri (10.0.0.x) olacak VPN tüneli içinde kullanacaktır.

Eth. kullanmak için 212.xxx için statik bir rotanız olduğu sürece, VPN bağlantısı kurulduktan sonra, uzak LAN için belirlenmiş olan tüm trafik tüneli kullanacaktır ve bu nedenle eth0, IPsec uç noktası, LAN’ınızdaki birincil yönlendirici üzerinde bulunur, tüm gerekli yollar sizin için ayarlanmalıdır.

Uzak VPN sunucusunda 54.xxx'i engellemekte olduğunuz sorun, yalnızca uzak ucuyla ilgili bir güvenlik kısıtlamasıdır. Uzak VPN sunucusu yalnızca 57.xxx'ten trafik bekliyor ve 54.xxx'ten gelen istekleri engelliyor. Bunun için neden yaptığını öğrenmeniz gerekiyor. 57.xxx kullanarak VPN bağlantısını başlattınız mı? Veya VPN sunucusu, ters DNS araması kullanarak erişimi kısıtlıyor mu ve siz de VPN bağlantısının 54.xxx'e kadar geri dönen bir DNS ana bilgisayar adından kurulması için DNS’yi doğru şekilde kurmadınız mı? SSL sertifikası kullanan IPsec bağlantısı, 57.xxx'e çözümlenen bir DNS ana bilgisayar adına bağlı mı?

EDIT: İşte gözden geçirilmiş öneri:

  • Amazon'dan 54.xxx bağlantısında farklı bir alt ağ sağlamasını isteyin (yalnızca ana makinenize isteğe bağlı IP atayamazsınız ve Amazon'un yönlendiricilerinin nasıl kullanılacağını bilmesini beklersiniz)

  • Yeni alt ağ ve varsayılan ağ geçidi ile eth0 kurulumu (di. İp 10.0.2.2 gw 10.0.2.1). 10.0.2.2, eth0 için yerel IP'dir ve 10.0.2.1, Amazon'un ağında bulunan bu alt ağ için varsayılan ağ geçididir.

  • Eth0'u ayarlarken ana makinenizde 10.0.2.0'ın 10.0.2.2'yi kullanması için zaten varsayılan bir yolu olmalıdır; 10.0.2.0/24 için herhangi bir trafik eth1'i atlayacaktır.

  • ağ geçidi olarak 10.0.2.1 kullanmak için VPN sunucusu IP 212.xxx için statik bir rota kurun. Eth0 belirtmeye gerek olmamalıdır.

  • YAPILAN. 212.xxx'e bağlandığınızda otomatik olarak eth0 ve gw 10.0.2.1'i kullanır, bu da internete 54.xxx bağlantısıyla gider

goofrider
kaynak
1
Bu senaryoda, varsayılan ağ geçidinin Amazon yönlendiricilere atandığını anlamanız gerekir. Hem eth0 hem de eth1 aynı alt ağa bağlıysa, eth0, 57.xxx’e çıkmak üzere trafik atamanızın önemi yok, yine de Amazon’un 10.0.0.x’in alt ağının tamamı için varsayılan çıkış noktasıdır. yönlendiriciler endişeli. Belirli amazon EC2 kodlarına aşina değilim, ancak temel olarak yapmanız gereken farklı bir alt ağ ile eth0 oluşturmak, sonra da 212.xxx'i eth0'a yönlendirmek. Buradan sonra giden trafik 54.xxx uç noktasını kullanın.
goofrider
1
Ev sahibi aynı zamanda eth0 ve eth1'in aynı alt ağda olduğuna inanıyor, bu yüzden 10.xxx alt ağını kullanan tüm paketler için 57.xxx başlıkta veriyor. Eth0 paketlerinin farklı başlıkları olmasını istiyorsanız, eth0'a kendi varsayılan yoluyla farklı bir alt ağ atanması gerekir. Derin uçtan çıkmak ve IPtables kullanarak IP başlıklarını yeniden yazmak istemiyorsanız. Ev sahibinin kendisine 10.0.0.x dosyası ekleyebilir misiniz? Eth1 için 10.0.0.0/30 ve eth0 için 10.0.0.4/30 gibi mi? Amazon hala her ikisinin de 10.0.0.0/24 olduğunu düşünebilir, ancak sizin ucunuzda 2 alt ağ olduğu sürece, farklı varsayılan rotaları olabilir.
goofrider
1
Altın kural: trafiği paylaşmayı düşünmüyorsanız, IP aralıklarını paylaşmayın. Hem eth0 hem de eth1'in DMZ olduğunu unutmayın, bu nedenle ev sahibiniz 54.xxx ve 57.xxx kontrolünü bilmiyor ya da kontrol etmiyor. Ve bunlar DMZ olduklarından, NAT ile olan genel IPsec sınırlaması hala geçerli olabilir.
goofrider
1

İlke yönlendirme normal kurulumla çalışmalı, NAT / VPN ile çalışıp çalışmadığından emin olmamalı ancak şu satırlarda bir şeyler deneyeceğim:

ip rule add from src 10.0.0.41/32 table 1
ip route add default via 10.0.0.xxx dev eth0 table 1

ip rule add from src 10.0.0.100/32 table 2
ip route add default via 10.0.0.xxx dev eth1 table 2

ama Amazon'un bu ağları nasıl yönlendirdiği hakkında hiçbir fikrim yok ve VPN bu kurulumda nasıl çalışacak ..

Ayrıca eğer arp önbelleği soğuk değilse, düzgün çalışmalarını sağlamak için arp büyüsü yapmanız gerekebilir.

Ancak bu, 10.0.0.100’deki trafiğinizin eth1 ve .41 ile eth0 üzerinden geçmesini sağlamalıdır, eğer 1: 1 NAT ise, eth1 üzerinden erişebilmeniz gerekir.

Bunu test dışında hiçbir şey üzerinde sınama, ağ bağlantısını tamamen kaybedebilirsin.

Jani Karlsson
kaynak
Son düzenlememe bakın, VPN olmadan gelen / giden çalışıyor.
YumYumYum
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.