Как сделать переадресацию порта на VPN сервере StrongSwan (IpSec IKEv2)?

Question

[Андрей]

Есть сервер Ubuntu 22.04, на нём установлен VPN сервер StrongSwan, который работает по IPSec IKEv2.
Настройка IPTables происходит с помощью UFW. Вот таким образом настроено сейчас:

/etc/ufw/before.rules

*nat
// Настройки для работы VPN
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --pol ipsec --dir out -j ACCEPT
-A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
COMMIT

*mangle
// Настройки для работы VPN
-A FORWARD --match policy --pol ipsec --dir in -s 10.10.10.0/24 -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
COMMIT

*filter
... Тут стандартные строки...
// Настройки для работы VPN
-A ufw-before-forward --match policy --pol ipsec --dir in --proto esp -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward --match policy --pol ipsec --dir out --proto esp -d 10.10.10.0/24 -j ACCEPT
... Дальше идут стандартные строки конфига

С сервером никаких проблем нет, всё работает.
Нужно пробросить порт снаружи, чтобы при обращении к VPN серверу на порт, скажем, 54321, сервер перенаправлял это на клиента, скажем, 10.10.10.1
Пробовал добавить в секцию *nat такую строчку, не помогло

-A PREROUTING -i eth0 -p tcp --dport 54321 -j DNAT --to-destination 10.10.10.1:54321

Как можно сделать проброс порта?

Comments

[Ivan Ustûžanin]

а какие сети прописаны в left?

[Андрей]

Ivan Ustûžanin,

left=%any
leftid=ххх.ххх.ххх.ххх
leftsubnet=0.0.0.0/0

Answer 1

[Петровский]

> есть компьютер на нём, условно есть веб-сервер
я поднял Caddy, можно nginx, также в WG пакеты уходят аналогом этой строки:

-A PREROUTING -i eth0 -p tcp --dport 54321 -j DNAT --to-destination 10.10.10.1:54321

Comments

[Андрей]

Возможно проблема как-то связана с тем, что IPSec не создает интерфейс в отличие от WG

[Андрей]

В общем проблема оказалась в роутере. Подключение выглядит так: VPN => Роутер => Компьютер. До роутера пакеты доходят, до компьютера нет. Роутер Keenetic не хочет пробрасывать порт. Дело было не в бобине...

[Петровский]

Спасибо, но вы объясните лучше. Мы здесь сидим не только для того, чтобы помогать

[Андрей]

Петровский, подключение обычное интернет - роутер - компьютеры. Интернет-провайдер даёт серый ip. Нужно пробросить порт из интернета в локальную сеть.
Возникла идея заиспользовать для этого VPS сервер, на котором поднят VPN IPSec IKEv2. К этому VPN подключается роутер Keenetic, и на роутере настроена маршрутизация к разным рабочим ресурсам, чтоб с комфортом ими пользоваться не поднимая VPN на компьютере.
Осталось только сделать двойной проброс порта - на VPN и на роутере.
На VPN проброс сделан с помощью той строки, которую я написал и вы прицитировали, и этот проброс работает. На роутере можно сделать захват сетевых пакетов, и видно, что пакеты на этот порт приходят.
На роутере проброс настроен и не работает - ни до компьютера с виндой ни с убунтой пакеты не доходят
Собственно, проблема пока не решена.

Answer 2

[AlexVWill]

Не совсем понял что именно ты хочешь.
Если назначить обращение к VPN на другой порт, то IPSec не работает на других портах, там строго определенные порты 500 и 4500, и на других портах оно не работает. Это тебе надо OpenVPN, там можно любой порт настроить.
Если же просто обращаться к Linux серверу по какому то порту 54321, то это можно, но только он не будет переадресацию делать на внутреннего клиента VPN 10.10.10.1, потому что входящие через этот порт пакеты не находятся в VPN.
В общем нужно подробнее написать что ты хочешь и зачем.

Comments

[Андрей]

Я хочу сделать переадресацию порта из одной сети в другую. Чтобы из интернета можно было обращаться к серверу по порту 54321, и пакеты переадресовывались в VPN туннель к определенному клиенту

[AlexVWill]

Андрей,

и пакеты переадресовывались в VPN туннель к определенному клиенту

А как пакеты будут попадать в VPN туннель? VPN сервер смотрит наружу через 500/4500 порт, на этот порт он открыл вэбсокет, на него отзывается, на другие нет... какой бы ты переадресации не поставил, пакеты которые пойдут на другой порт не попадут внутрь VPN минуя сервер и его механизм доступа. Потому что для входа внутрь нужна авторизация через VPN сервер. Т.е. сервер не может пустить пакеты внуть VPN для совего внутреннего клиента на его IP непойми откуда и непойми что, он для этого специально предназначен. Ключи, авторизация, и все такое.

[Андрей]

AlexVWill, есть компьютер на нём, условно есть веб-сервер. Компьютер за NATом провайдера. Надо открыть доступ к веб-серверу снаружи, принимать подключения.
Покупать белый IP слишком дорого для этого пет-проекта.
Есть VPN сервер, и появилась идея с его помощью решить эту проблему, но никак не выходит пробросить порт. Неужели нельзя его пробросить?

[AlexVWill]

Андрей, так как ты это задумал - нельзя. Для этого есть другие решения, вроде DynamicDNS, но для серых IP, но как это работает я точно не знаю, не пробовал. Самый простой вариант это кмк ТСР форвардинг, если на сервере есть ssh, и к нему надо дать доступ ограниченному числу конкретных хостов. Вот тут посмотри: https://habr.com/ru/articles/331348/#t2

[Петровский]

а разве при перебросе пакетов с интерфейса в интерфейс они не будут перешифрованы и подписаны?

[AlexVWill]

Петровский, если они изначально не были внутри VPN, они в результате маршрутизации волшебным образом в нем не появятся. )))

[Петровский]

AlexVWill, не могли бы пояснить? У хоста 2 интерфейса, один смотрит в VPN, другой в не-VPN, почему пакеты не могут ходить между ними?

[AlexVWill]

Петровский, как я понял задачу: есть клиент VPN без статичного IP, он же web сервер и есть какой то клиент со статичным IP, который должен получить пакет от любого IP вне VPN и передать его внутрь VPN.
Вот я и пишу что просто одной маршрутизацией так не сделать, т.е. хост где клиент VPN со статичным IP должен выступать в роли прокси. Т.е. хост должен понимать, что надо получить не просто пакет, а пакет для VPN, как то его закодировать и направить другому (клиенту или серверу) VPN. А клиенты так не умеют. В общем - нужно ТЗ.

[Петровский]

AlexVWill,
> Т.е. хост должен понимать, что надо получить не просто пакет, а пакет для VPN
Так а чем не подходит правило DNAT на этом хосте?