Как сделать проброс пакетов без подмены адреса отправителя?

Question

[Олег]

Пояснение.
При работе с "железным" роутером (пусть даже Длинк)... Он имеет 2 порта. ВАН и ЛАН. Все пакеты приходящие на ВАН натятся на ЛАН порт. При этом, машины за роутером находящиеся на ЛАН порту видят внешние IP адреса отправителей этих пакетов.

Есть значит у меня Линукс ) И IPTABLES.
2 интерфейса. ВАН и VPN (на котором сидят другие машины)
И по сути 3 правила.
1. Forward
2. D-NAT (PreRoute)
3. S-NAT (PostRoute)

Дак вот машины в VPN сети, видят приходящие пакеты с IP адресом VPN интерфейса Линукс-роутера.
И вот вопрос из заголовка...Как сделать проброс пакетов без подмены адреса отправителя?
Ибо все, что пока делаю я, либо вообще перестает работать, либо работает так, как работает. )

Спасибо.

Comments

[Sand]

покажите

iptables -nvL
iptables -nvL -t nat

[Олег]

root@26506:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 107 packets, 17086 bytes)
 pkts bytes target     prot opt in     out     source               destination
   66  3498 DNAT       udp  --  *      *       0.0.0.0/0            195.19.192.44        udp dpts:2306:2802 to:10.7.0.3
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            195.19.192.44        udp dpts:27015:27040 to:10.7.0.3
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            195.19.192.44        tcp dpts:27015:27040 to:10.7.0.3

Chain INPUT (policy ACCEPT 18 packets, 1104 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 50 packets, 3550 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 50 packets, 3550 bytes)
 pkts bytes target     prot opt in     out     source               destination
   66  3498 MASQUERADE  udp  --  *      *       0.0.0.0/0            10.7.0.3             udp dpts:2306:2802
    0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            10.7.0.3             udp dpts:27015:27040
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            10.7.0.3             tcp dpts:27015:27040
    0     0 MASQUERADE  all  --  *      ens3    0.0.0.0/0            0.0.0.0/0
    0     0 SNAT       all  --  *      *       10.7.0.0/24         !10.7.0.0/24          to:195.19.192.44
root@26506:~#

[Олег]

Sand,

root@26506:~# iptables -nvL
Chain INPUT (policy DROP 80 packets, 3694 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:2306:2802 state NEW

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       10.7.0.0/24          0.0.0.0/0
    0     0 ACCEPT     all  --  wg0    *       0.0.0.0/0            0.0.0.0/0
  159  8427 ACCEPT     all  --  *      wg0     0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:2306:2802 state NEW
    0     0 ACCEPT     udp  --  ens3   *       0.0.0.0/0            10.7.0.3             udp dpts:2306:2802
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:27015:27040 state NEW
    0     0 ACCEPT     udp  --  ens3   *       0.0.0.0/0            10.7.0.3             udp dpts:27015:27040
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:27015:27040 state NEW
    0     0 ACCEPT     tcp  --  ens3   *       0.0.0.0/0            10.7.0.3             tcp dpts:27015:27040
    0     0 ufw-reject-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-track-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ufw-after-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-after-logging-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-reject-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-track-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0

root@26506:~#

[Sand]

Олег, покажите ещё
cat /proc/sys/net/ipv4/ip_forward

[Олег]

Sand, 1
Если бы там было 0, вообще бы переадресация не работала бы ни как. А сейчас она работает

[Valentin Barbolin]

Олег, Можно еще посмотреть вывод?

ip ad

[Олег]

Andrey Barbolin,

root@26506:~# ip ad
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:b6:3f:80 brd ff:ff:ff:ff:ff:ff
    inet 195.19.192.44/24 brd 195.19.192.255 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:feb6:3f80/64 scope link
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.7.0.2/32 scope global wg0
       valid_lft forever preferred_lft forever
root@26506:~#

[Valentin Barbolin]

Олег, Полагаю, что мы говорим про пакеты которые попадают под эти правила?

66  3498 MASQUERADE  udp  --  *      *       0.0.0.0/0            10.7.0.3             udp dpts:2306:2802
    0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            10.7.0.3             udp dpts:27015:27040
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            10.7.0.3             tcp dpts:27015:27040

У ВПН клиента куда дефол смотрит?

[Олег]

Andrey Barbolin, совершенно верно.
На шлюз провайдера. (а если уж совсем точно, на роутер, который подключен к провайдеру).
Можу поменять в принципе на ВПН тунель, ибо выше описанные правила позволяют гонять весь трафик через него. Но хотелось бы сего не делать.

[Valentin Barbolin]

Олег,
> На шлюз провайдера. (а если уж совсем точно, на роутер, который подключен к провайдеру).
Вот ваша проблема.

Пакет от клиента из интернета, проходит через проброс порта, потом заворачивает в VPN доходит до VPN клиента, тот видит реальный IP клиента из интернета. Куда по вашему он отправит ответ? - правильно на default GW, клиент в интернете к такому не готов, запрос он отправлял на один адрес, а ответ пришел с другого)

Соответственно, что остается
- заворачивать вест трафик VPN клиента в VPN, тогда можно показывать реальный IP клиента из интернет
- маскарадить трафик на VPN сервере (как вы сейчас и делаете) и не показывать IP клиента из интернет.

[Олег]

Andrey Barbolin, А если у меня более 1 VPN машины. И клиенты идут с разных VPN туннелей.... Как решить такую задачу? Несколько шлюзов как я понимаю, не вариант же....

[Valentin Barbolin]

Олег, На VPN клиенте, более одного VPN подключения?

[Олег]

Andrey Barbolin, VPN туннелей 4 шт. На концах каждого из них машина с IP адресом, на который коннектятся клиенты.
Выше данные одного туннеля. У остальных в правилах меняется только внешний IP.
10.7.0.3 - это ВПН адрес сервера с исходной службой на которой хочется видеть не VPN IP, а реальные.
Грубо говоря, туннели это зеркала одного сервера.

[Олег]

Andrey Barbolin, ВПН интерфейс на сервере один. Если вы про это.
Если вдруг поможет, то ВПН поднят с использованием WireGuard

[Valentin Barbolin]

Олег, Тогда тебя ждет путь джедая.
https://habr.com/ru/post/108690/
Абзац "Доступность сервера через несколько аплинков"

Если коротко, тебе надо создать отдельные таблицы маршрутизации для каждого интерфейса, тогда сервер будет отвечать на том интерфейсе куда пришел запрос.

[Олег]

Andrey Barbolin, значит придется виртуалить микротик на систему сверху... Спасибо.