Как получить доступ из LAN к серверу в WAN?

Question

[dlinyj]

Есть следующая схема сети:



Описываю слева напараво:
1. Компьютер (сервер), который имеет статический ip-адрес 192.168.253.1
2. Роутер на OpenWRT, у которого я вручную прописал на порту WAN статический адрес 192.168.253.2
Со стороны портов LAN у него адрес 192.168.1.1 и из коробки стоит DHCP, который выдаёт адреса.
3. Клиенская машина (тоже linux), которая по DHCP получила адрес 192.168.1.153

Задача: Получить доступ с клиентской машины изнутри сети LAN к серверной машине, подключенной к WAN.

Со стороны роутера, обе машины пингуются без проблем. Но со стороны клиента не удаётся пингануть машину 192.168.253.1, хотя внутренний интерфейс роутера 192.168.253.2 пингуется.

Пробовал сбрасывать настройки firewall (iptables -F), не помогло.

Настройки:
1. На роутере:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:70:00:00 brd ff:ff:ff:ff:ff:ff
    inet 192.168.253.2/24 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe70:0/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 08:00:27:70:00:01 brd ff:ff:ff:ff:ff:ff
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br-lan state UP group default qlen 1000
    link/ether 08:00:27:70:00:02 brd ff:ff:ff:ff:ff:ff
5: eth3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br-lan state UP group default qlen 1000
    link/ether 08:00:27:70:00:03 brd ff:ff:ff:ff:ff:ff
6: eth4: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel master br-lan state DOWN group default qlen 1000
    link/ether 08:00:27:70:00:04 brd ff:ff:ff:ff:ff:ff
7: eth5: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel master br-lan state DOWN group default qlen 1000
    link/ether 08:00:27:70:00:05 brd ff:ff:ff:ff:ff:ff
8: br-lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 08:00:27:70:00:02 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global br-lan
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe70:2/64 scope link 
       valid_lft forever preferred_lft forever

Дополнительно прописал маршрут по умолчанию:

root@OpenWrt:/# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.253.1   0.0.0.0         UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
192.168.253.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

ip_forward включен точно

root@OpenWrt:/# cat /proc/sys/net/ipv4/ip_forward
1

2. Со стороны клиента:

root@testCLIENT:/home/user# ip a
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: enp0s9: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:96:a5:4d brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.153/24 brd 192.168.1.255 scope global dynamic enp0s9
       valid_lft 30820sec preferred_lft 30820sec
    inet6 fe80::a00:27ff:fe96:a54d/64 scope link 
       valid_lft forever preferred_lft forever

root@testCLIENT:/home/user#  route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 enp0s9
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 enp0s9

Пробовал прописать даже маршрут в ту сеть:

ip route add 192.168.253.0/24 via 192.168.1.1

Но не помогло.

При этом пинг интерфейса роутера в ту сеть идёт, а во вне нет:

PING 192.168.253.2 (192.168.253.2) 56(84) bytes of data.
64 bytes from 192.168.253.2: icmp_seq=1 ttl=64 time=0.269 ms
64 bytes from 192.168.253.2: icmp_seq=2 ttl=64 time=0.336 ms
64 bytes from 192.168.253.2: icmp_seq=3 ttl=64 time=0.312 ms
64 bytes from 192.168.253.2: icmp_seq=4 ttl=64 time=0.308 ms

ping 192.168.253.1
PING 192.168.253.1 (192.168.253.1) 56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Port Unreachable
From 192.168.1.1 icmp_seq=2 Destination Port Unreachable
From 192.168.1.1 icmp_seq=3 Destination Port Unreachable
From 192.168.1.1 icmp_seq=4 Destination Port Unreachable

Ощущение, что где-то какую-то деталь забыл. Если на роутере сбросить таблицы iptables -F, то пинг не ругается, но и не проходит.

Comments

[Модератор]

Не надо ставить как можно больше тэгов. Лучше оставить один, но конкретный, с которым проблема.
См.п.3.1 Регламента.

[Александр]

Пробросить порт через NAT от сервера к клиенту?

[dlinyj]

Александр, из LAN в WAN. Наоборот не нужно. Про проброс портов в курсе. Но это бы все и так сработало после того как iptables -F

[ValdikSS]

На схеме отсутствует WAN. У вас прямое подключение обоих компьютеров? Убедитесь, что разрешена маршрутизация между зонами, в которых находятся компьютеры, либо назначьте им одну зону.
Также неясно, какую роль выполняет NAT в этой конфигурации, и как он настроен.

[dlinyj]

ValdikSS, в данном случае базовая конфигурация OpenWRT, как говорится из коробки. Да, по сути три устройства между собой. По поводу зон, спасибо, обращу на это внимание.

Answer 1

[hint000]

Настройки:
1. На роутере:
...
2. Со стороны клиента:
...
Ощущение, что где-то какую-то деталь забыл...

Есть третий участник процесса.
3. Со стороны сервера:
Шлюзом должен быть прописан 192.168.253.2, чтобы работало без NAT.
Ещё: если сервер виндовый, там по умолчанию штатный брандмауэр не пустит из другого сегмента сети.

Comments

[dlinyj]

Не, везде Линукс. А зачем со стороны сервера шлюз прописывать?

[hint000]

dlinyj, если NAT не включен, то сервер получает запрос с адреса 192.168.1.153
а у сервера сеть 192.168.253.0/24 и без шлюза он может посылать что-то (в том числе ответы) только на адреса этой сети.
Т.е. сервер получает запрос от клиента, но не знает, куда отправить ответ. Если пропишите шлюз, сервер будет отправлять на шлюз, и всё будет работать как надо.

Другое дело, если NAT правильно настроен, тогда сервер получает запрос с адреса 192.168.253.2 и может на него ответить даже без прописанного шлюза - и тоже всё работает как надо. Хоть и работает, но это некрасивый вариант. Потому что некрасиво использовать NAT без необходимости, когда задача может быть решена маршрутизацией.