Как выпустить сайт из локалки в мир через VPS?

Question

[GavriKos]

Всем привет.
Вводная. Есть домашняя локалка, построена на микротике (если очень конкретно - то перед микротиком еще модем провайдера бриджом). Есть сайт в локалке, который надо выпустить в мир. Возможности приобретения белого айпи нет.
Как одно из решений, к которому пришел - аренда VPS, прокидывание в него VPN-туннеля, и дальше разруливание маршрутов.

Действовал ровно по вот этой инструкции - https://blog.listratenkov.com/vps-forward-port-ove...

Что получилось. ВПН есть и работает, микрот к нему подключается. NAT на микроте настроен (на всякий случай разрешил коннект через любой порт). Если на VPS wget-ом обратиться к айпи микрота - то скачивается index того сайта, который нужен. Т.е. как я понимаю - и ВПН работает, и прокидывание запроса на микроте работает.

А вот извне по белому IP VPS-а никуда достучаться не получается - ошибка и все. Если смотреть на мироте статистику VPN-подключения - то там 0 байт (но что то я ей не очень верю). Все делал как по мануалу +пробовал еще похожие инструкции с iptables - ноль. Причем пробовал и 80 порт, и кастомный (именно для этого в NAT микрота разрешил все порты) - толку ноль.

Важно (возможно) - на VPS так же поднят Jenkins на 8080 порту - с ним все ок, он извне доступен.

Подскажите плз куда копать. Если можно - как для дилетанта :-) Спасибо

P.S. про все нюансы выпускания локального сайта в мир знаю, но хоум ассистант должен быть дома )) Тут толкьо все для личного использования

Comments

[Drno]

включить NAT для впн сети на VPS
включить NAT для VPN на микротике

[GavriKos]

Drno, второй пункт похоже сделан. А про первый можно чуть подробнее?

[hint000]

GavriKos, суть та же самая - "проброс" входящего снаружи трафика на внутренний хост, т.е. DNAT по тому же принципу, что и на домашнем роутере с белым адресом. Только пробрасываете с VPS до Микротика.
Плюс ещё SNAT (masquerade) на VPS, чтобы ответный трафик возвращался тем же маршрутом через VPS.

[Valentin Barbolin]

Что-то в статье ни слова про sysctl -w net.ipv4.ip_forward=1

Покажи вывод с VPS
iptables-save

Почему бы просто не разместить сайт на VPS?

[GavriKos]

hint000, ага, во про маскарад думал, да, но везде где читал про него ни слова (((

Valentin Barbolin, про сайт - написано почему - он нужен в домашней сети - не выпускать же все устройства умного дома в мир )))

Ip_forward в 1 устанавливал

[GavriKos]

Valentin Barbolin,

# Generated by iptables-save v1.8.7 on Wed Feb  1 18:49:21 2023
*filter
:INPUT ACCEPT [114461:30743946]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [37409:4894834]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -d 192.168.43.0/24 -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.43.0/24 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.43.0/24 -o ppp+ -j ACCEPT
-A FORWARD -j DROP
-A f2b-sshd -s 61.177.172.108/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 61.177.173.46/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
COMMIT
# Completed on Wed Feb  1 18:49:21 2023
# Generated by iptables-save v1.8.7 on Wed Feb  1 18:49:21 2023
*nat
:PREROUTING ACCEPT [193560:19272566]
:INPUT ACCEPT [30077:3779693]
:OUTPUT ACCEPT [145:13159]
:POSTROUTING ACCEPT [145:13159]
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.43.0/24 -o eth0 -m policy --dir out --pol none -j MASQUERADE
COMMIT
# Completed on Wed Feb  1 18:49:21 2023

Может быть мешанина из разных вариантов
192.168.43.0 - подсеть впн

[Valentin Barbolin]

GavriKos, Не хватает
WAN_IP - IP адрес с eth0

-A PREROUTING -d WAN_IP -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination PPP_MIK_IP:80
-A PREROUTING -d WAN_IP -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination PPP_MIK_IP:443

так же возможно понадобиться, зависит от конфигурации VPN, попробуй сначала добавить только первые 2 правила
-A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source PPP_VPS_IP
-A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 443 -j SNAT --to-source PPP_VPS_IP

Думаю, тут лучше бы подошел wireguard как VPN
https://github.com/angristan/wireguard-install

[GavriKos]

Valentin Barbolin,
Вот что получилось:

# Generated by iptables-save v1.8.7 on Wed Feb  1 20:21:20 2023
*filter
:INPUT ACCEPT [542:114966]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [698:62464]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -d 192.168.43.0/24 -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.43.0/24 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.43.0/24 -o ppp+ -j ACCEPT
-A FORWARD -j DROP
-A f2b-sshd -s 61.177.172.124/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 61.177.172.108/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 47.176.104.76/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 37.32.21.114/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 159.203.105.247/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s {WAN_IP}/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 109.115.114.214/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
COMMIT
# Completed on Wed Feb  1 20:21:20 2023
# Generated by iptables-save v1.8.7 on Wed Feb  1 20:21:20 2023
*nat
:PREROUTING ACCEPT [845:76259]
:INPUT ACCEPT [206:17935]
:OUTPUT ACCEPT [33:2023]
:POSTROUTING ACCEPT [33:2023]
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.43.0/24 -o eth0 -m policy --dir out --pol none -j MASQUERADE
COMMIT
# Completed on Wed Feb  1 20:21:20 2023

Странно что только 1 запись с адресом VPS... Попробую по вашему совету wireguard с сбросом всехiptables - не принципиально пока что для этой машины )

[Valentin Barbolin]

GavriKos, Правила же не применились) Тебя не смутило что iptables выругался?

Сорян, забыл таблицу добавить. -t nat
-t nat -A PREROUTING -d WAN_IP -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination PPP_MIK_IP:80
-t nat -A PREROUTING -d WAN_IP -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination PPP_MIK_IP:443

так же возможно понадобиться, зависит от конфигурации VPN, попробуй сначала добавить только первые 2 правила
-t nat -A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source PPP_VPS_IP
-t nat -A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 443 -j SNAT --to-source PPP_VPS_IP

[GavriKos]

Valentin Barbolin, он не выругался. Конечно я добписал -t nat сам ))))
Но вот что они не применились - нет, я не заметил, для меня связь между командой и выхлопом save не очевидна ((( Я проверил что что то изменилось - количество стало больше
Но я применил обе команды, потом сделал iptables-save, и даже ребутнулся. На каждом шаге толку небыло )) Может в принципе что то не так делаю при настройке?

[Valentin Barbolin]

GavriKos, Как ты остальные правила добавлял в firewall ? Может у тебя какая-то надстройка стоит типа ufw (ubuntu) или firewalld (centos) ?
WAN_IP и PPP_MIK_IP тоже не забыл поменять на IP адреса ?

[GavriKos]

Valentin Barbolin, не забыл, поменял.
ufw стоял, но в какой то момент был удален собственно по какой т орекомендации мол "удалите, иначе будет мешать добавлять правила". Убунта, да.

Добавляю просто - sudo iptables и дальше команда.
На выхлопе ничего не получаю - т.е. никакого соббщения ни об ошибке, ни подтверждения. Все)

[GavriKos]

Valentin Barbolin, Мда, я уже погуглил.. iptables-persistent поможет

[GavriKos]

Valentin Barbolin, Итого, после Iptables-peristent все заработало ))
Еще сам homeassistant выделывается - но это уже не тема для этого вопрса - ему похоже надо подменять айпи в пакетах.

Спасибо! Перенесите что то про сохранение в ответы

[Valentin Barbolin]

GavriKos, оформил как ответ)

Answer 1

[Valentin Barbolin]

Не хватает правили прероутинга на VPS

Не забыть поменять переменные на реальные адреса
WAP_IP - это IP адрес с интерфейса eth0
PPP_MIK_IP - это IP адрес с интерфейса ppp на микротик
PPP_VPS_IP - это IP адрес с интерфейса ppp на VPS

-t nat -A PREROUTING -d $WAN_IP -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination $PPP_MIK_IP:80
-t nat -A PREROUTING -d $WAN_IP -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination $PPP_MIK_IP:443

так же возможно понадобиться, зависит от конфигурации VPN, попробуй сначала добавить только первые 2 правила
-t nat -A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source $PPP_VPS_IP
-t nat -A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 443 -j SNAT --to-source $PPP_VPS_IP

Answer 2

[Владимир Коротенко]

делаете роутинг на 80 и 443 порты на вашем впс

Comments

[GavriKos]

Каким образом?
В статье вроде как раз роутинг и есть через Iptables, но ничего не работает