VPN portforwarding og iptables

[Danis]

Case: får ikke tilgang til FTP-server eller andre tjenester som krever portvidereformidling (portforward) fra utsiden av nettverket (WAN)

 

Situasjon: har anskaffet en asus RT-AC66u som kjører asuswrt (merlin build) i den hensikt å kunne gjøre VPN-tilkoblinger tilgjengelig for hele LAN-nettverket.

for noen tjenester (porter) ønsker jeg å bruke VPN-tilkoblingen mens for andre vil jeg bypasse VPN og bruke vanlig ISP-IP.

 

for å gjøre denne differensieringen mulig har jeg brukt følgende script:

 

#!/bin/sh

touch /tmp/000wanstarted

for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $i
done


ip route flush table 100
ip route del default table 100
ip rule del fwmark 1 table 100
ip route flush cache
iptables -t mangle -F PREROUTING


ip route add default table 100 via $(nvram get wan_gateway)
ip rule add fwmark 1 table 100
ip route flush cache

iptables -t mangle -A PREROUTING -i br0 -j MARK --set-mark 0

iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 8787 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 8787 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 13215 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 13215 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 443 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 5001 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 5001 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 53 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 53 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 67 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 67 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --dport 68 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p udp --dport 68 -j MARK --set-mark 1

 

Uten scriptet går all trafikk gjennom VPN-tilkoblingen. Mens med scriptet på har jeg notert meg at flere websider greier å returnere min egentlige IP på forespørsel, noe som ikke går uten aktivert skript (da returneres VPN IP)

Jeg tolker dette som om at port 80 går utenom VPN med aktivert script, og antar videre at øvrige porter som er tatt med i scriptet vil gå utenom VPN.

Uansett får jeg ikke tilgang til FTP-serveren eller andre tjenester som krever portvidereformidling.

 

Spørsmål: Hvordan omprogrammerer jeg scriptet, eller eventuelt justerer router-instillingene, for at jeg jeg skal få tilgang til FTP-server på utsiden av nettverket (remote tilkobling)?

 

(vedlagt ligger VPN-client innstillinger)

[klakkelakk]

Hadde du bare brukt ipchains...

[Danis]

Hadde du bare brukt ipchains...

 

Var ikke lett å forstå seg på guidene på nettet, ei heller forstod jeg hvordan jeg eventuelt skulle sette opp et script i fwbuilder. Har uansett brukt en god del timer på googling og prøving og feiling for å forstå hvordan jeg skulle sy sammen scriptet som per nå foreligger. Alle forslag til løsning, enten det inbefatter omforming til ipchains eller andre metoder mottas med takk