VPN за девятью вратами, путь в тридесятое государство?

Question

[ettaluni]

Доброго дня! Ух и замучился я уже с созданием VPN канала для работы из дома. Не получается обойти наты провайдера.
Имеется сеть:
VPS - Public IP через виртуальный роутер, пробрасывает порты все на все. Проблема думаю не в нем.
Комп1 - Public IP через дашманский роутер (Dlink проброс портов 1 к 1)
Комп2 - Серый Ip за натом провайдера(свисток Yota), все в роутер Zyxel для раздачи инета.
Пытался настроить OpenVPN и Wireguard, безуспешно. Потом понял что они через NAT не могут, настроил Tinc VPN и он снова не работает.
Я подозреваю что проблема в комп1, который хоть и отправляет пакеты на порт, ответ не приходит из межсетевого экрана роутера. Повторю роутер дашманский там статистику пакетов не посмотреть. Наверное я не открыл порт. Но я не могу его открыть так как порт отправки с Комп1 динамический, а роутер может только конкретно число.
Также я подозреваю, что когда сервер VPS получает пакет через проброс портов, он его тупо не отправляет потому что не может найти конечный узел, в журналах сервер отвечает на пакеты на порт(openVPN например 1194) ICMP пакетами с номером 9(или портом), как я думаю это что то вроде пинга. Вот и получается. Сервак: "Я не могу найти номер узла (192.168.х.х) у меня сеть 10.х.х.х поэтому отправлять ничего не буду".
Собственно и вопрос:

• Можно ли как то сделать порт отправки статичным с клиентской машины?
  
• Какую команду прописать, чтобы сервер отправлял пакеты от публичного адреса а не от частного, если предположить что в пакетах указаны частные адрессы а не цепочка адресов.
  

PS: Всегда считал что при отправке пакета с клиентской машины все промежуточные узлы записываются в пакет, и когда формируется ответ-пакет, он просто идет обратно по реверс-цепочке и даже если динамический порт, он будет указан в пакете!

Comments

[Valentin Barbolin]

Рисуй.

Answer 1

[Drno]

ОпенВпн прекрасно обходит НАТ.
На любом месте, где есть PublicIP - поднимает OpenVPN. на нестандартном порту. Например 10000 или 30000.
Далее поключаемся к нему клиентами..
Не забываем прописать роутинг до нужных подсетей\ip
Пример для винды -
Чтобы добавить маршрут к конечной точке 10.41.0.0 с маской подсети 255.255.0.0 и следующим адресом перехода 10.27.0.1, введите команду:

route add 10.41.0.0 mask 255.255.0.0 10.27.0.1

Я бы поднял ВПН на VPS и уже "играл" дальше через него

Comments

[ettaluni]

Распиши пожалуйста подробней, откуда и до куда писать роуты

[ettaluni]

alexvdem, Круто! Спасибо, попробую. Скажи еще, от этого безопасность не падает что вместе с вебом?

[ettaluni]

alexvdem, Да так, я не понимаю вот и спрашиваю

Answer 2

[ky0]

Пытался настроить OpenVPN и Wireguard, безуспешно. Потом понял что они через NAT не могут

Могут, понимайте дальше. Впн и маршрутизация между сетями за клиентами - классика, информации навалом.

Answer 3

[ValdikSS]

Если у вас сервер за NAT (без маршрутизируемого/«белого»/«реального» IP-адреса от провайдера), вы не хотите покупать выделенный IP-адрес или VPS с выделенным IP, и вам кровь из носа нужно заставить работать VPN именно в таких условиях, то можно попробовать ZeroTier или Tailscale.

Проще и надёжней купить IP-адрес и настроить хоть IPsec IKEv2, хоть OpenVPN, хоть WireGuard.

Хотя, у вас на картинке нарисован VPS. В таком случае непонятен сам вопрос. Что у вас не работает, и что вы пытаетесь сделать?

Comments

[ettaluni]

VPS с публичный, просто этот публичный адрес дается вместе с виртуальным роутером. И получаеться что VPS тоже за NAT.
У меня только одна точка с серым IP. В сетях я плохо шарю, поэтому приходиться делать по инструкциям, собственно у меня пока не было ни одной удачной попытки поднятия VPN, какой бы продукт я не использовал.

[ValdikSS]

ettaluni,

В таком случае непонятен сам вопрос. Что у вас не работает, и что вы пытаетесь сделать?

[ettaluni]

ValdikSS, Либо ты тролишь меня, либо не читал вопрос.
Да и сам я не знаю что конкретно не работает, в этом то и вопрос. Нет коннекта VPN между сервером и клиентом.

[ValdikSS]

ettaluni, Нет соединения непосредственно VPN-клиента к серверу, или уже внутри VPN-соединения нет маршрутизации? Если первое, то VPN как таковой здесь ни при чем, анализируйте сетевую доступность с помощью tcpdump, сверяйте правила файрволла, и т.п.

[ettaluni]

ValdikSS, Я не знаю, tcdump сложен для меня, пользовался iptraf. Дак вот пакеты сервер принимал, и посылал обратно. tracerout от больного узла до VPS идет до конца. tracerout от сервера до больного узла заканчивается звездочками.

[ValdikSS]

ettaluni, Сам факт приёма и отправки пакетов (если вы всё правильно интерпретировали, и пакеты действительно передаются) говорит о сетевой доступности, но это может быть ответ firewall'а с RST, или что-то подобное.
Повторяю вопрос: у вас VPN-клиент подключается к серверу? Что вы видите в журналах подключения? Что вы вообще используете для VPN сейчас, tinc?

[ettaluni]

Я уже все снес. Использовал OpenVpn, писал что не может соединиться с сервером и делал рекконект через n-секунд. использовал Wireguard, тот вообще ничего не говорил пинг по туннелю не шел. Ставил TincVNC тоже писал что не может соединится типа нет сетевого пути.
Сейчас поставил Strongwarn он вроде написал что отправил пакет серверу и принял пакет, но тунель не поднял. Но StrongWarm я уже на амазоне поднял

[ValdikSS]

ettaluni, у вас проблемы с сетевой связностью, наиболее вероятно — с настройками межсетевого экрана на сервере. Проблема до VPN, а не с VPN.

[ettaluni]

ValdikSS, Это я понял, но как решить это нет))

[ValdikSS]

ettaluni, Необходимо проверить настройки межсетевого экрана на сервере, изменить их, разрешив принимать входящие соединения на конкретные порты и протоколы, которые использует VPN-программа. Для OpenVPN стандартный порт 1194 (TCP/UDP).
Читайте документацию к вашему дистрибутиву и VPN-программе, смотрите журналы на сервере и клиенте.

[ettaluni]

ValdikSS, У же разрешил все порты TCP\UDP