Настройка IPTables для исключения webhost из VPN туннеля

У меня есть Raspberry Pi работает как сервер для моего веб-хоста.
Raspberry pi подключен к службе VPN 24/7.

из-за этого я не могу подключиться к моей веб-хостинга, используя мой публичный IP-адрес, выданный моим провайдером.

Если бы я должен был отключить VPN на моем Raspberry Pi, у меня нет проблем
подключение к моему веб-серверу.

Я использую порт 8080 для моего apache.

как я могу перенаправить свой трафик, чтобы получить доступ к порту 8080 используя IP моего провайдера?
Моя малина Pi находится на статическом ip 192.168.1.11 локально.

например, если мой публичный интернет-провайдер 123.456.789.001, как я могу получить доступ к моей малине Pi в 123.456.789.001: 8080?

как я начинаю свой VPN:

sudo /etc/init.d/openvpn start

VPN Config

client
dev tun2
proto udp
remote 176.126.237.214 25000
remote euro214.vpnbook.com 25000
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass auth.txt
comp-lzo
verb 3
cipher AES-128-CBC
fast-io
pull
route-delay 2
redirect-gateway

ifconfig

tun2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.10.0.56  P-t-P:10.10.0.78  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:19415 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4242 errors:0 dropped:94 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:26759154 (25.5 MiB)  TX bytes:289187 (282.4 KiB)

спасибо

1
задан Hexark
09.01.2023 5:04 Количество просмотров материала 2924
Распечатать страницу

3 ответа

то, что вам нужно, называется Переадресация Портов - вам нужно будет войти в свой маршрутизатор (или устройство, которому назначен ваш публичный IP-адрес, если это другое устройство) и создать правило, которое перенаправляет трафик на порт 8080 на IP-адрес вашего Raspberry Pi. Так как вы не дали никаких других подробностей, я не могу дать вам никаких точных инструкций.

ваша конфигурация VPN также использует redirect-gateway вариант, который изменит шлюз по умолчанию малины Пи (см. docs). С помощью этой опции пакеты достигнут вашего Pi, но не смогут быть переданы обратно маршрутизатору. Вам нужно будет удалить это, чтобы сохранить Raspberry Pi доступным для локальной сети.

1
отвечен Craig Watson 2023-01-10 12:52

вы redirect-gateway включено, который говорит клиенту VPN маршрутизировать весь трафик через OpenVPN. Если вы хотите, чтобы определенный набор трафика проходил через OpenVPN, настройте эти маршруты по отдельности. Например, можно добавить следующее, чтобы передать весь трафик, связанный для 10.12.34.0 / 24 через VPN.

(with no redirect-gateway)
route 10.12.34.0 255.255.255.0

в обратном направлении, вы можете направить OpenVPN исключить подмножество трафика. Если вы не хотите, чтобы трафик до 123.45.67.0 / 24 проходил через VPN, то вы можете включить эта строка:

(with redirect-gateway)
route 123.45.67.0 255.255.255.0 net_gateway
1
отвечен Hyppy 2023-01-10 15:09

Привет, кажется, решить мою проблему, добавив несколько IPTables, который заключается в следующем.

ip rule add from 192.168.1.11 table 128 
ip route add table 128 to 192.168.1.0/24 dev eth0 
ip route add table 128 default via 192.168.1.1

Я считаю, что эта настройка приводит к тому, что весь входящий трафик(все порты) исключается из VPN-туннеля, в то же время гарантируя, что мой исходящий через VPN. Теперь я могу подключиться к своему серверу, используя свой общедоступный IP-адрес, и все еще могу просматривать сеть с помощью VPN-подключения.

У меня есть вопрос, хотя, если бы я был торрент, это означает, что мой провайдер может видеть торрент-трафик приходя в мой IP, потому что входящий трафик не зашифрован?

Это для разъяснения, а не для того, чтобы нарушать законы.

0
отвечен Hexark 2023-01-10 17:26

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх