Как пробросить порты с vds через ovpn канал на домашний pfsense для получения статического ip для домашних серверов?

Question

[MakNait]

Имеется связка настроенный Ovpn сервер (ubuntu16.04) на VDS -> pfsense -> tplink - >домашний сервер. На VDS поднят впн канал до pfsense. Требуется сделать так чтобы статически ip VDS стал статическим ip моей домашней сети. Но как только я пробрасываю через ovpn канал порты на pfsens vpn перестает работать для моей домашней сети (сайты перестают открыватся) при этом сам проброс работает и я вижу свои локальные ресурсы через IP VDS'ки. В логах ошибок нет. Насколько я понимаю это мой косяк c iptables, но я не могу понять в чем.

ptables -A FORWARD -i eth0 -o tun0 -p tcp —syn —dport 80 -m conntrack —ctstate NEW -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m conntrack —ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -P FORWARD DROP
iptables -t nat -A PREROUTING -i eth0 -p tcp —dport 80 -j DNAT —to-destination 10.0.0.6
iptables -t nat -A POSTROUTING -o tun0 -p tcp —dport 80 -d 10.0.0.6 -j SNAT —to-source 10.0.0.1
apt install -y iptables-persistent
service netfilter-persistent start
service netfilter-persistent save

где eth0 - интерфейс по которому VDS получает инет
tun0 - интерфейс vpn
10.0.0.6 - виртуальный ip pfsense выданный сервером
10.0.0.1 - интерфейс ovpn на VDS

Конфиг vpn севрера:
port 1194
proto udp
dev tun
ca ca.crt
cert blabla.crt
key blabla.key
dh dh2048.pem
tls-auth ta.key 0
cipher AES-128-CBC
server 10.0.0.0 255.255.255.0
keepalive 10 120
persist-key
persist-tun
client-config-dir blabla
status 123.log
log /var/log/123.log
verb 3
comp-lzo adaptive
sndbuf 0
rcvbuf 0
push "redirect-gateway def1"
push "dhcp-options DNS 8.8.8.8"
(на pfsense для игнорирования пушев прописан игнор
--pull-filter ignore redirect-gateway чтобы по дефолту все устройства из дома не ходили через vpn канал, а только на определенные сайты)

Answer 1

[athacker]

Какие конкретно сайты перестают работать? VPN у вас работать продолжает, т. к. иначе, заходя на IP VDS-ки, ваши сайты работать переставали бы.

Вам default gateway реально в туннеле нужен? Т. е. есть клиенты, для которых вы планируете весь трафик заворачивать в туннель? Если нет, то push "redirect-gateway def1" стоит убрать, равно как и отдачу настроек DNS. И прописать только конкретные нужные маршруты.

Также, исходя из правил следует, что вы зачем-то делаете DST NAT в IP pfSense, а не в IP домашнего сервера. Получается, у вас будет четверной NAT -- DNAT в 10.0.0.6, потом SNAT в 10.0.0.1, потом pfSense ещё раз будет делать DNAT и SNAT? Это лишнее. Пропишите в маршрутах OpenVPN, что за pfSense есть ещё одна сетка, и настройте DNAT-правило, чтобы проставлялся сразу IP сервера, а не pfSense.

Comments

[MakNait]

Какие конкретно сайты перестают работать? VPN у вас работать продолжает, т. к. иначе, заходя на IP VDS-ки, ваши сайты работать переставали бы.

Сайты из списка заблокированных добавленные в алиас on_vpn.
Кстати после введения данных настроек IPtables на других устройствах вне сети pfsense ( пк на работе) также не открываются сайты.

Вам default gateway реально в туннеле нужен?

default gateway нужен для других клиентов вне сети pfsense чтобы весь их трафик заворачивался в VPN.
Не могу его убрать т.к весь трафик в сети pfsense включая игровой пойдет через VPN с пингом 200. Возможно тут есть другое решение.

Пропишите в маршрутах OpenVPN, что за pfSense есть ещё одна сетка, и настройте DNAT-правило, чтобы проставлялся сразу IP сервера, а не pfSense.

А где я могу найти мануал каким образом это делается правильно?

[athacker]

А вы правила в цепочке FORWARD настраивали? Или iptables -P FORWARD DROP -- это единственное, что относится к форварду? А как оно у вас будет пакеты между интерфейсами перекидывать, если у вас весь форвардинг запрещён? :-)

MakNait, прямо в примере конфига OpenVPN сервера в комментариях довольно подробно расписано, как делаются маршруты per client. Это там где про ccd и клиента с именем "Thelonious".

[MakNait]

Или iptables -P FORWARD DROP -- это единственное, что относится к форварду?

Именно так. Понял ошибку благодарю. Не силен в iptables делал по мануалу проброса портов.

[athacker]

MakNait, помимо правил файрвола, проверьте ещё, что у вас ip_forwarding включён в ядре:
sysctl net.ipv4.ip_forward

Должен быть в 1 выставлен.

[MakNait]

Поменял iptables -P FORWARD DROP на iptables -P FORWARD ACCEPT и все заработало как надо.
В мануале это правило сразу вызвало подозрение, но я не понял его назначения.
Ради интереса как разберусь попробую прописать в маршрутах OpenVPN, что за pfSense есть ещё одна сетка, и настроить DNAT-правило. tplink я исключу из цепочки, но не вижу ничего плохого в пробросе через 4 NAT'а.

[athacker]

MakNait, в вашем случае 4 раза NAT проблем особо создавать не будет, но в целом -- это сложная схема и дополнительные задержки при обработке трафика.И ещё, если где-то что-то отвалится -- будет сложнее дебажить.

Ну и в целом -- надо стараться максимально правильную и корректную архитектуру строить. Чем больше костылей -- тем сложнее дебажить, как я уже говорил, и тем сложнее менять/развивать. А требования к информационным системам постоянно меняются, так что модифицировать какие-то настроки придётся, причём скорее рано, чем поздно.