Roteie tudo por VPN, exceto SSH na porta 22

3

Eu tenho um servidor e quero configurar uma VPN para rotear todo o tráfego.

Claro que eu não quero me bloquear quando for estabelecer a conexão OpenVPN (já fiz isso!), então eu quero que a porta 22 não seja afetada e seja alcançável como de costume.

Isso é possível? E se sim, como posso configurar isso?

    
por b-m-f 31.01.2015 / 20:36

2 respostas

8

Você precisa adicionar o roteamento ao seu servidor para que os pacotes ssh sejam roteados pelo ip público do servidor e não pela vpn. Não fazer isso significa que o pacote de retorno ssh é roteado via openvpn. É por isso que você fica bloqueado no servidor depois de ter iniciado uma sessão do cliente openvpn.

Vamos supor que o seu servidor:

  • O IP público é a.b.c.d
  • A sub-rede IP pública é a.b.c.0/24
  • O gateway padrão é x.x.x.1
  • eth0 é dispositivo para gateway

iproute2 é seu amigo aqui. Faça o seguinte:

ip rule add table 128 from a.b.c.d
ip route add table 128 to a.b.c.0/24 dev eth0
ip route add table 128 default via x.x.x.1

Do route -n para confirmar a exibição da nova tabela de roteamento. Os comandos acima não persistirão se você reiniciar o servidor. Você precisará adicioná-los ao seu arquivo de configuração da interface de rede.

Em seguida, execute sua configuração do cliente openvpn openvpn --config youropenvpn-configfile.ovpn &

Bônus adicionado

Além disso, se desejar restringir o tráfego ao seu IP público para ssh e somente ssh, será necessário adicionar a filtragem iptables da seguinte forma:

iptables -A INPUT -d a.b.c.d -p tcp --dport <*ssh port number*> -j ACCEPT
iptables -A INPUT -d a.b.c.d -j DROP

ps: Eu me lembro primeiro de aprender sobre isso no fórum do Linode - google e você deve encontrar um post sobre isso.

    
por 13.11.2015 / 13:43
0

Assumindo que o seu IP Público do Servidor VPS é 1.2.3.4 e o seu IP Público VPN é 5.6.7.8

Eu editaria o arquivo /etc/ssh/sshd_config e adicionaria uma linha:

ListenAddress 1.2.3.4

Então, o SSHd seria acessível de fora da conexão VPN.

    
por 02.02.2015 / 01:04