Не получается настроить ssh доступ извне к домашнему хосту (связка OpenVPN на Raspberry + Router)

Discussion in 'Песочница' started by aut0mat1ka, 27 Dec 2019.

  1. aut0mat1ka

    aut0mat1ka New Member

    Joined:
    27 Dec 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Доброго времени, сообщество.

    Помогите пожалуйста решить сабжевую проблему.

    Вводные данные:
    Интернет по шнурку подключен к Wifi роутеру. IP статический.
    Raspberry Pi с поднятым OpenVPN подключена по шнурку к роутеру.

    Все устройства в сети подключаются к роутеру по Wifi, а в качестве шлюза используют IP малинки.
    Доступ по ssh от хоста к хосту внутри сети есть. ssh порт в моем случае 61111.

    Задача:
    По ssh извне попасть на домашний хост (например 172.16.1.10).

    Для начала попробовал пробросить ssh на IP малинки - без результата.
    Пробовал пробросить ssh на целевой хост 172.16.1.10 - без результата.

    В простой конфигурации, когда домашние устройства в качестве шлюза используют роутер - проблем с доступом извне нету.

    С большой вероятностью уверен, что проблема у меня в кривой настройке iptables на Raspberry. А т.к. знаний в этой области на данный момент у меня недостаточно, прошу сообщество помочь советом.

    Спасибо.

    *nat
    upload_2019-12-27_21-59-8.gif REROUTING ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    upload_2019-12-27_21-59-8.gif OSTROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A POSTROUTING -o tun0 -j MASQUERADE
    COMMIT

    *filter
    :INPUT DROP [0:0]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -i eth0 -p icmp -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp --dport 61111 -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp --dport 5901 -m comment --comment vnc -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp --dport 6001 -m comment --comment X -j ACCEPT
    -A FORWARD -i eth0 -o tun0 -j ACCEPT
    -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT -o tun0 -m comment --comment vpn -j ACCEPT
    -A OUTPUT -o eth0 -p icmp -m comment --comment icmp -j ACCEPT
    -A OUTPUT -d 172.16.1.0/24 -o eth0 -m comment --comment lan -j ACCEPT
    -A OUTPUT -o eth0 -p udp -m udp --dport 1194 -m comment --comment openvpn -j ACCEPT
    -A OUTPUT -o eth0 -p tcp -m tcp --sport 61111 -m comment --comment ssh -j ACCEPT
    -A OUTPUT -o eth0 -p udp -m udp --dport 123 -m comment --comment ntp -j ACCEPT
    -A OUTPUT -o eth0 -p udp -m udp --dport 53 -m comment --comment dns -j ACCEPT
    -A OUTPUT -o eth0 -p tcp -m tcp --dport 53 -m comment --comment dns -j ACCEPT
    -A OUTPUT -o eth0 -j DROP
    COMMIT
     
  2. b3

    b3 Moderator

    Joined:
    5 Dec 2004
    Messages:
    1,986
    Likes Received:
    879
    Reputations:
    198
    dyndns попробуйте
     
    _________________________
    aut0mat1ka likes this.
  3. kris990

    kris990 New Member

    Joined:
    8 Oct 2019
    Messages:
    23
    Likes Received:
    1
    Reputations:
    0
    если я правильно понял задачу, то я бы сделал так:
    пробросил порт с малинки на роутер,
    подключаешься к этому порту с обрезанным пользователем( без шелла, он только для проброса порта)
    ну и соответственно дальше прокидываешь порт до хоста

    на хабре было классно описано
    https://habr.com/ru/post/122445/

    а ещё можно с помощью тора, я это делал для малинки ( даже без статического айпи), но проблема в очень низкой скорости - поэтому не советую
     
    aut0mat1ka likes this.
  4. aut0mat1ka

    aut0mat1ka New Member

    Joined:
    27 Dec 2019
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Спасибо за ответы/советы!

    Возможно я не слишком точно описал задучу/проблему. В 2-х словах перефразирую:

    После установки OpenVPN на малинку, извне по ssh уже не попасть, т.к. траффик туннелируется. Внутри сети с доступом по ssh проблем нет.
    Доступ извне к малинке я попытался открыть с помощью iptables. Однако в правилах реализована еще и функция killswitch. Возможно из-за этого есть проблемы с доступом.

    В любом случае мне пореккомендовали для начала не лезть в дебри iptables, а использовать ufw. Там все намного проще и я уверен, что свою проблему с помощью ufw решу.

    Спасибо. Всем добра.
     
Loading...