Не получается настроить ssh доступ извне к домашнему хосту (связка OpenVPN на Raspberry + Router)

28.12.2019, 00:11

aut0mat1ka

Новичок

Регистрация: 27.12.2019

Сообщений: 2

С нами: 3359126

Репутация: 0

Доброго времени, сообщество.

Помогите пожалуйста решить сабжевую проблему.

Вводные данные:

Интернет по шнурку подключен к Wifi роутеру. IP статический.

Raspberry Pi с поднятым OpenVPN подключена по шнурку к роутеру.

Все устройства в сети подключаются к роутеру по Wifi, а в качестве шлюза используют IP малинки.

Доступ по ssh от хоста к хосту внутри сети есть. ssh порт в моем случае 61111.

Задача:

По ssh извне попасть на домашний хост (например 172.16.1.10).

Для начала попробовал пробросить ssh на IP малинки - без результата.

Пробовал пробросить ssh на целевой хост 172.16.1.10 - без результата.

В простой конфигурации, когда домашние устройства в качестве шлюза используют роутер - проблем с доступом извне нету.

С большой вероятностью уверен, что проблема у меня в кривой настройке iptables на Raspberry. А т.к. знаний в этой области на данный момент у меня недостаточно, прошу сообщество помочь советом.

Спасибо.

.SpoilerTarget" type="button">Spoiler: iptables
*nat

REROUTING ACCEPT [0:0]

:INPUT ACCEPT [0:0]

OSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A POSTROUTING -o tun0 -j MASQUERADE

COMMIT

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -i lo -j ACCEPT

-A INPUT -i eth0 -p icmp -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 61111 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 5901 -m comment --comment vnc -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 6001 -m comment --comment X -j ACCEPT

-A FORWARD -i eth0 -o tun0 -j ACCEPT

-A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o tun0 -m comment --comment vpn -j ACCEPT

-A OUTPUT -o eth0 -p icmp -m comment --comment icmp -j ACCEPT

-A OUTPUT -d 172.16.1.0/24 -o eth0 -m comment --comment lan -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 1194 -m comment --comment openvpn -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --sport 61111 -m comment --comment ssh -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 123 -m comment --comment ntp -j ACCEPT

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m comment --comment dns -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -m comment --comment dns -j ACCEPT

-A OUTPUT -o eth0 -j DROP

COMMIT

𝕏 Twitter Reddit Telegram Копировать ссылку

30.12.2019, 18:57

kris990

Новичок

Регистрация: 08.10.2019

Сообщений: 28

С нами: 3474326

Репутация: 0

если я правильно понял задачу, то я бы сделал так:

пробросил порт с малинки на роутер,

подключаешься к этому порту с обрезанным пользователем( без шелла, он только для проброса порта)

ну и соответственно дальше прокидываешь порт до хоста

на хабре было классно описано

https://habr.com/ru/post/122445/

а ещё можно с помощью тора, я это делал для малинки ( даже без статического айпи), но проблема в очень низкой скорости - поэтому не советую

09.01.2020, 19:08

aut0mat1ka

Новичок

Регистрация: 27.12.2019

Сообщений: 2

С нами: 3359126

Репутация: 0

Спасибо за ответы/советы!

Возможно я не слишком точно описал задучу/проблему. В 2-х словах перефразирую:

После установки OpenVPN на малинку, извне по ssh уже не попасть, т.к. траффик туннелируется. Внутри сети с доступом по ssh проблем нет.

Доступ извне к малинке я попытался открыть с помощью iptables. Однако в правилах реализована еще и функция killswitch. Возможно из-за этого есть проблемы с доступом.

В любом случае мне пореккомендовали для начала не лезть в дебри iptables, а использовать ufw. Там все намного проще и я уверен, что свою проблему с помощью ufw решу.

Спасибо. Всем добра.

Создать сделку

Мои сделки

Сделка

ESCROW ADMIN PANEL