https://www.opennet.me/openforum/vsluhforumID10/5288.html Доброго времени суток, помогите пожалуйста новичку!<br><br>Задача: Нужно чтобы сервер(с1) не знал что трафик к нему идет от сервера(с2).<br> с1 знает IP с2, поэтому надо как-то изменить заголовок пакетов. К настройкам с1 я доступа не имею, на с2 я могу прописать только адрес и порт куда ему послать трафик. Никаких настроек прокси и т.п. там нет. Все сервера и я находимся в разных странах.Я решил (возможно ошибся) что можно изменить src_addr пробросив трафик через себя, т.е. сказать с2 направлять трафик на мой внешний адрес, который я имею когда поднимаю VPN и переправлять пакеты на с1 через шлюз моего провайдера доступа в интернет(3G-modem). Но у меня ничего не выходит. Проброс трафика получается только если использовать шлюз VPN-a, но тогда нет смысла. Если я пробрасываю внешний IP на сайт который показывает IP (2ip.ru и т.п.) через шлюз VPN-a, то вижу тот-же IP, как если бы я просто зашел на этот сайт без всяких пробросов. А надо чтоб показался адрес выданный мне 3G-провайдером.<br> Несколько дней рылся в гугле, н https://www.opennet.me/openforum/vsluhforumID10/5288.html#14 Wed, 26 Nov 2014 06:11:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Х)) Х)) Х)) whatsmyip.org - не прошибаемый! все равно кажет 85.26.183.58 !!<br>&gt; 85.26.183.58 это ip на устройстве с которого обращаетесь или на устройстве серый <br>&gt; ip?<br>&gt;&gt; Но судя по tcpdump - трафик идет как надо. Попробую, может <br>&gt;&gt; для меня и так сойдет. Тaм не HTTP.<br>&gt;&gt; Может обойдусь и статическими маршрутами, но если что с виртуальной машиной должно <br>&gt;&gt; ведь сработать?<br>&gt; вместо vpn сервера? попробуйте, если на устройстве серый ip, то даже с <br>&gt; http 85.26.183.58 не должен был появится, можете с помощью tcpdump посмотреть <br>&gt; что именно было в данных пакетов <br><br> 85.26.183.58 это ip на устройстве с которого обращаюсь на белый адрес.<br> 85.26.183.58 - серый внешний адрес(просто сим от мегафона стоит в смартфоне).<br> этот адрес также высвечивается если просто зайти со смартфона на whatsmyip.org<br><br>А ПК у которого vpn+белый ip - подключен к рутеру с 3G-модемом билайн. У самого 3G-модема билайн - внешний адрес тоже серый.<br><br>Я имел ввиду - поднять на ПК еще и виртуальную ОС и уже https://www.opennet.me/openforum/vsluhforumID10/5288.html#13 Tue, 25 Nov 2014 20:36:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; 4. Осталось мне как-то передать пакет из п.3 инициатору (в данном случае <br>&gt;&gt;&gt;&gt;&gt; мегафон-смарт, IP 85.26.183.58). Т.е. теперь похоже надо как-то припахать шлюз от <br>&gt;&gt;&gt;&gt;&gt; туннеля, а он сечас не дефолт.<br>&gt;&gt;&gt;&gt;&gt; Пожалуйста помогите замкнуть цепь!<br>&gt;&gt;&gt;&gt; вы можете на vpn-сервере сделать snat на vpn интерфейсе?<br>&gt;&gt;&gt; врядли...<br>&gt;&gt;&gt; А если поднять виртуалку и на ней поднимать vpn ?<br>&gt;&gt; тогда покаместь на домашней машине <br>&gt;&gt; route add -host 85.26.183.58 gw ip.vpn_интерфейса.vpn_сервера <br>&gt; Х)) Х)) Х)) whatsmyip.org - не прошибаемый! все равно кажет 85.26.183.58 !! <br><br>85.26.183.58 это ip на устройстве с которого обращаетесь или на устройстве серый ip?<br><br>&gt; Но судя по tcpdump - трафик идет как надо. Попробую, может <br>&gt; для меня и так сойдет. Тaм не HTTP.<br>&gt; Может обойдусь и статическими маршрутами, но если что с виртуальной машиной должно <br>&gt; ведь сработать?<br><br>вместо vpn сервера? попробуйте, если на устройстве серый ip, то даже с http 85.26.183.58 не должен был появится, можете с помощью https://www.opennet.me/openforum/vsluhforumID10/5288.html#12 Tue, 25 Nov 2014 19:40:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; options [nop,nop,TS val 245469957 ecr 7806294], length 0 <br>&gt;&gt;&gt;&gt; 4. Осталось мне как-то передать пакет из п.3 инициатору (в данном случае <br>&gt;&gt;&gt;&gt; мегафон-смарт, IP 85.26.183.58). Т.е. теперь похоже надо как-то припахать шлюз от <br>&gt;&gt;&gt;&gt; туннеля, а он сечас не дефолт.<br>&gt;&gt;&gt;&gt; Пожалуйста помогите замкнуть цепь!<br>&gt;&gt;&gt; вы можете на vpn-сервере сделать snat на vpn интерфейсе?<br>&gt;&gt; врядли...<br>&gt;&gt; А если поднять виртуалку и на ней поднимать vpn ?<br>&gt; тогда покаместь на домашней машине <br>&gt; route add -host 85.26.183.58 gw ip.vpn_интерфейса.vpn_сервера <br><br>Х)) Х)) Х)) whatsmyip.org - не прошибаемый! все равно кажет 85.26.183.58 !! Но судя по tcpdump - трафик идет как надо. Попробую, может для меня и так сойдет. Тaм не HTTP.<br>Может обойдусь и статическими маршрутами, но если что с виртуальной машиной должно ведь сработать?<br> https://www.opennet.me/openforum/vsluhforumID10/5288.html#11 Tue, 25 Nov 2014 18:26:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 3. whatsmyip.org (208.64.38.55.80) мне отвечает: <br>&gt;&gt;&gt; 19:55:18.138914 IP 208.64.38.55.80 &gt; 192.168.2.101.15624: Flags [.], ack 1, win 65535, <br>&gt;&gt;&gt; options [nop,nop,TS val 245469957 ecr 7806294], length 0 <br>&gt;&gt;&gt; 4. Осталось мне как-то передать пакет из п.3 инициатору (в данном случае <br>&gt;&gt;&gt; мегафон-смарт, IP 85.26.183.58). Т.е. теперь похоже надо как-то припахать шлюз от <br>&gt;&gt;&gt; туннеля, а он сечас не дефолт.<br>&gt;&gt;&gt; Пожалуйста помогите замкнуть цепь!<br>&gt;&gt; вы можете на vpn-сервере сделать snat на vpn интерфейсе?<br>&gt; врядли...<br>&gt; А если поднять виртуалку и на ней поднимать vpn ?<br><br>тогда покаместь на домашней машине<br><br>route add -host 85.26.183.58 gw ip.vpn_интерфейса.vpn_сервера<br><br> https://www.opennet.me/openforum/vsluhforumID10/5288.html#10 Tue, 25 Nov 2014 18:15:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; win 5840, options [mss 1400,sackOK,TS val 7806294 ecr 0,nop,wscale 6], length <br>&gt;&gt; 0 <br>&gt;&gt; 3. whatsmyip.org (208.64.38.55.80) мне отвечает: <br>&gt;&gt; 19:55:18.138914 IP 208.64.38.55.80 &gt; 192.168.2.101.15624: Flags [.], ack 1, win 65535, <br>&gt;&gt; options [nop,nop,TS val 245469957 ecr 7806294], length 0 <br>&gt;&gt; 4. Осталось мне как-то передать пакет из п.3 инициатору (в данном случае <br>&gt;&gt; мегафон-смарт, IP 85.26.183.58). Т.е. теперь похоже надо как-то припахать шлюз от <br>&gt;&gt; туннеля, а он сечас не дефолт.<br>&gt;&gt; Пожалуйста помогите замкнуть цепь!<br>&gt; вы можете на vpn-сервере сделать snat на vpn интерфейсе?<br><br>врядли...<br>А если поднять виртуалку и на ней поднимать vpn ?<br><br> https://www.opennet.me/openforum/vsluhforumID10/5288.html#9 Tue, 25 Nov 2014 17:47:26 GMT &gt;[оверквотинг удален]<br>&gt; 19:55:17.248090 IP 192.168.2.101.15624 &gt; 208.64.38.55.80: Flags [S], seq 1734350540, <br>&gt; win 5840, options [mss 1400,sackOK,TS val 7806294 ecr 0,nop,wscale 6], length <br>&gt; 0 <br>&gt; 3. whatsmyip.org (208.64.38.55.80) мне отвечает: <br>&gt; 19:55:18.138914 IP 208.64.38.55.80 &gt; 192.168.2.101.15624: Flags [.], ack 1, win 65535, <br>&gt; options [nop,nop,TS val 245469957 ecr 7806294], length 0 <br>&gt; 4. Осталось мне как-то передать пакет из п.3 инициатору (в данном случае <br>&gt; мегафон-смарт, IP 85.26.183.58). Т.е. теперь похоже надо как-то припахать шлюз от <br>&gt; туннеля, а он сечас не дефолт.<br>&gt; Пожалуйста помогите замкнуть цепь!<br><br>вы можете на vpn-сервере сделать snat на vpn интерфейсе?<br> https://www.opennet.me/openforum/vsluhforumID10/5288.html#8 Tue, 25 Nov 2014 17:23:48 GMT <br>&gt; в snat указываете ip который получаете при поднятии 3g, который на 3g_интерфейсе, <br>&gt; а не от vpn <br><br>тут Вы правы! Теперь я получаю ответный пакет от whatsmyip.org (208.64.38.55.80):<br>19:55:18.138914 IP 208.64.38.55.80 &gt; 192.168.2.101.15624: Flags [.], ack 1, win 65535, options [nop,nop,TS val 245469957 ecr 7806294], length 0<br><br>192.168.2.101 - это мой 3G, просто он сейчас в рутер воткнут, но смысл не меняется. Ну а правила таковы:<br>iptables -t nat -I POSTROUTING -d 208.64.38.55 -p tcp --dport 80 -j SNAT --to-source 192.168.2.101<br>iptables -t nat -A PREROUTING -d 46.183.167.72 -p tcp --dport 800 -j DNAT --to-destination 208.64.38.55:80<br><br><br>Подытожу:<br><br>1. сайчас уже пакет от мегафон-смартфона через внешний адрес попадает ко мне:<br>19:44:23.372858 IP 85.26.183.58.15622 &gt; 46.183.167.72.800: Flags [S], seq 1383624355, win 5840, options [mss 1400,sackOK,TS val 7642829 ecr 0,nop,wscale 6], length 0<br><br>2. Я его отправляю на whatsmyip.org (208.64.38.55.80):<br>19:55:17.248090 IP 192.168.2.101.15624 &gt; 208.64.38.55. https://www.opennet.me/openforum/vsluhforumID10/5288.html#7 Tue, 25 Nov 2014 09:55:07 GMT &gt;[оверквотинг удален]<br>&gt; поменять адрес и порт куда послать трафик и все (никаких прокси,тунелей <br>&gt; и т.п.). туннель поднимаю для того чтоб у меня появился белый(внешний) <br>&gt; адрес (46.183.167.72). Просто одна фирма за недорого дает туннель с внешним <br>&gt; фиксированным адресом.<br>&gt; tcpdump -n -i 3g_интерфейс - показал кое-что интересное: <br>&gt; 12:16:55.772562 IP 46.183.167.72.41384 &gt; 208.64.38.55.80: Flags [S], seq 500676429, win <br>&gt; 5840, options [mss 1400,sackOK,TS val 930035 ecr 0,nop,wscale 6], length 0 <br>&gt; Т.е. трафик от моего внешнего адреса заворачивается в 3G. Но ответных пакетов <br>&gt; от 208.64.38.55.80 на 3G че-то нет.<br>&gt; Как будто 208.64.38.55.80 отвечает на 46.183.167.72.41384 а не на адрес 3G? <br><br>в snat указываете ip который получаете при поднятии 3g, который на 3g_интерфейсе, а не от vpn<br><br> https://www.opennet.me/openforum/vsluhforumID10/5288.html#6 Tue, 25 Nov 2014 09:29:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; SNAT --to-source 46.183.167.72 <br>&gt;&gt; /proc/sys/net/ipv4/ip_forward там уже 1 <br>&gt;&gt; По файрволу - вроде ничего не блочится, систему только поставил. А вообще, <br>&gt;&gt; как проверить?<br>&gt; tcpdump -n -i vpn_интерфейс <br>&gt; tcpdump -n -i 3g_интерфейс <br>&gt; vpn поднят между с2 и домашней машиной или vpn-сервер это что-то отдельное <br>&gt; в инете?<br>&gt; если отдельное проверте куда уходят ответы от с1, в туннель или к <br>&gt; провайдеру 3g.<br><br>c1 и с2 живут своими жизнями. могу повлиять только на с2 - поменять адрес и порт куда послать трафик и все (никаких прокси,тунелей и т.п.). туннель поднимаю для того чтоб у меня появился белый(внешний) адрес (46.183.167.72). Просто одна фирма в интернете за недорого дает туннель с внешним фиксированным адресом.<br><br>tcpdump -n -i 3g_интерфейс - показал кое-что интересное:<br>12:16:55.772562 IP 46.183.167.72.41384 &gt; 208.64.38.55.80: Flags [S], seq 500676429, win 5840, options [mss 1400,sackOK,TS val 930035 ecr 0,nop,wscale 6], length 0<br>Т.е. трафик от моего внешнего адреса