Não consigo acessar um IP por trás de uma VPN quando eu me conecto remotamente à LAN doméstica (Regras de política restritas)

1

Aqui está o meu ambiente.

  • AsusWRT-Merlin FW 380.67 no Asus RT-AC88U
  • Configuração do cliente OpenVPN no meu roteador usando AirVPN
  • Servidor OpenVPN ativado com 10.8.1.0/24 no meu roteador
  • LAN doméstica interna com 192.168.x.x / 24
  • Eu tenho um servidor FreeNAS executando várias cadeias     - 192.168.1.26 = Transmissão passando pelo cliente OpenVPN até       a internet

Estou tendo problemas para acessar apenas a cadeia de transmissão em 192.168.1.26 em minha LAN interna quando estou em VPN. Isso acontece porque na guia 'OpenVPN Clients' na página do roteador, na opção 'Redirect Internet Traffic' , Estou usando a configuração "Regras estritas". A utilização da opção strict aumenta a segurança, mas requer que uma regra seja usada para segmentar especificamente a interface do túnel para permitir que o tráfego seja encaminhado. Quando eu mudo para apenas 'Regras de Política', posso fazer ping e acessar o servidor de Transmissão, mas quero aumentar a segurança. Por favor me ajude a escrever esta regra. Aqui está a explicação de Merlin de seu changelog para 380.66 (12-maio-2017),

NEW: Added new Internet redirection mode to OpenVPN clients called "Policy Rule (Strict)". The difference from the existing "Policy Rule" mode is that in strict mode, only rules that specifically target the tunnel's interface will be used. This ensures that you don't leak traffic through global or other tunnel routes, however it also means any static route you might have defined at the WAN level will not be copied either.​

Isso me leva ao iptables. Aqui está o meu script nat-start. Meu objetivo é ter um script semi-simples com alguma segurança enquanto me permite acessar o IP do Trasmission. Você verá no meu script que eu tentei linhas diferentes e quando elas não funcionaram, eu apenas as comentei.

#!/bin/sh

iptables -I FORWARD -i br0 -o tun11 -j ACCEPT
iptables -I FORWARD -i tun11 -o br0 -j ACCEPT
iptables -I FORWARD -i br0 -o vlan1 -j DROP
#iptables -I INPUT -i tun11 -j REJECT
iptables -t nat -A POSTROUTING -o tun11 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o tun21 -j MASQUERADE

iptables -t nat -I PREROUTING -i tun11 -p tcp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -t nat -I PREROUTING -i tun11 -p udp --dport xxxxx-j DNAT --to-destination 192.168.1.26
iptables -I FORWARD -i tun11 -p udp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -i tun11 -p tcp -d 192.168.1.26 --dport xxxxx--state RELATED,ESTABLISHED -j ACCEPT

Qualquer ajuda é muito apreciada.

    
por Digital 10.08.2017 / 17:58

0 respostas