সক্রিয় ওপেনভিপিএন ক্লায়েন্ট সহ কোনও সার্ভারে এসএসএইচকে অনুমতি দেওয়া হচ্ছে

আমার একটি ভিপিএস চলছে যা সেন্টোস 7 চলছে যা আমি এসএসএইচের সাথে সংযুক্ত হয়েছি। আমি ভিপিএসে একটি ওপেনভিপিএন ক্লায়েন্ট চালাতে চাই যাতে ইন্টারনেট ট্র্যাফিক ভিপিএন এর মাধ্যমে চালু করা যায় তবে তবুও আমাকে এসএসএইচ দিয়ে সার্ভারের সাথে সংযোগ করার অনুমতি দিন। আমি যখন ওপেনভিপিএন শুরু করি তখন আমার এসএসএইচ সেশনটি সংযোগ বিচ্ছিন্ন হয়ে যায় এবং আমি আর আমার ভিপিএসের সাথে সংযোগ রাখতে পারি না। আগত এসএসএইচ (পোর্ট 22) সংযোগগুলি ভিপিএসের আসল আইপি (104.167.102.77) এ খোলা থাকার অনুমতি দেওয়ার জন্য আমি কীভাবে ভিপিএসকে কনফিগার করতে পারি, তবে এখনও ভিপিএন এর মাধ্যমে বহির্গামী ট্র্যাফিকের (ভিপিএসের কোনও ওয়েব ব্রাউজারের মতো) রুট করতে পারি?

আমি যে ওপেনভিপিএন পরিষেবাটি ব্যবহার করি সেটি হ'ল প্রাইভেটইন্টারনেট অ্যাক্সেস এবং একটি উদাহরণ কনফিগারেশন.ওএনপিএন ফাইল হ'ল:

মক্কেল
দেব সুর
প্রোটো ইউডিপি
দূরবর্তী nl.privateinternetaccess.com 1194
রেজোলভ-পুনরায় চেষ্টা করুন অসীম
nobind
জিদ কী
জিদ-তুন
ca carr
TLS ক্লায়েন্ট
রিমোট- cert-tls সার্ভার
প্রমাণীকরণ-ইউজার-পাস
Comp-lzo
ক্রিয়া 1
নবায়ন-সেকেন্ড 0
crl- যাচাই করুন crl.pem

ভিপিএসের আইপি অ্যাডারে:

1: লো: এমটিউ 65536 কুইডিস্ক নোকিউ স্টেট অজানা
    লিঙ্ক / লুপব্যাক 00: 00: 00: 00: 00: 00 ব্রিড 00: 00: 00: 00: 00: 00: 00
    inet 127.0.0.1/8 স্কোপ হোস্ট লো
       বৈধ_ফ্লট চিরকাল পছন্দসই_ফলেট
    inet6 :: 1/128 স্কোপ হোস্ট
       বৈধ_ফ্লট চিরকাল পছন্দসই_ফলেট
2: ens33: mtu 1500 qdisc pfifo_ ব্রেকফাস্ট রাজ্য ইউপি Qlen 1000
    লিঙ্ক / ইথার 00: 50: 56: হতে: 16: f7 ব্রিড এফএফ: এফএফ: এফএফ: এফএফ: এফএফ
    inet 104.167.102.77/24 brd 104.167.102.255 স্কোপ গ্লোবাল ens33 33
       বৈধ_ফ্লট চিরকাল পছন্দসই_ফলেট
    inet6 fe80 :: 250: 56ff: febe: 16f7 / 64 স্কোপ লিঙ্ক
       বৈধ_ফ্লট চিরকাল পছন্দসই_ফলেট
4: টিউন 0: এমটিটিউ 1500 কিউডিস্ক pfifo_ ব্রেকফাস্ট রাজ্য UNKNOWN qlen 100
    লিঙ্ক / কেউ
    ইনেট 10.172.1.6 পিয়ার 10.172.1.5/32 স্কোপ গ্লোবাল টিউন 0
       বৈধ_ফ্লট চিরকাল পছন্দসই_ফলেট

ভিপিএসের আইপ রুট:

0.0.0.0/1 10.172.1.5 দেব টিউন এর মাধ্যমে
ডিফল্ট 104.167.102.1 ডিভ 1333 প্রোটো স্ট্যাটিক মেট্রিক 1024 এর মাধ্যমে
10.172.1.1 10.172.1.5 দেব টিউন এর মাধ্যমে
10.172.1.5 ডিভ টুন0 প্রোটো কার্নেল স্কোপ লিঙ্ক src 10.172.1.6
104.167.102.0/24 dev ens33 প্রোটো কার্নেল স্কোপ লিঙ্ক src 104.167.102.77
109.1.154.177 104.167.102.1 ডিভ এনস 33 এর মাধ্যমে
128.0.0.0/1 10.172.1.5 ডি টিউন0 এর মাধ্যমে

আমার এটির মতো একটি সমস্যা রয়েছে এবং এই ফোরাম পোস্টে বর্ণিত ঠিক করার চেষ্টা করছি ।

ধারণাটি হ'ল বর্তমানে যখন আপনি আপনার সার্বজনীন আইপি ঠিকানার সাথে সংযুক্ত হন, ফেরত প্যাকেটগুলি ভিপিএন এর উপর দিয়ে যায়। আপনাকে এই প্যাকেটগুলি আপনার সর্বজনীন ইন্টারফেসের উপর দিয়ে যেতে বাধ্য করতে হবে।

এই রুট কমান্ডগুলি আশাকরি কৌশলটি করবে:

আইপি রুল এক্সএক্সএক্সএক্সএক্স টেবিল 128 থেকে যুক্ত করুন

আইপি রুটটি yyy / y দেব এথএক্সে টেবিল 128 যুক্ত করে

আইপি রুটটি zzzz এর মাধ্যমে টেবিল 128 ডিফল্ট যুক্ত করুন

যেখানে এক্সএক্সএক্সএক্স আপনার সর্বজনীন আইপি, সেখানে ইয়াহই / ওয়াই আপনার জনসাধারণের আইপি ঠিকানার সাবনেট হতে হবে, এথএক্স আপনার পাবলিক ইথারনেট ইন্টারফেস হতে হবে এবং জেডজেজ অবশ্যই ডিফল্ট গেটওয়ে হওয়া উচিত।

মনে রাখবেন যে এটি আমার পক্ষে কাজ করেনি (ডেবিয়ান এবং প্রাইভেটআইন্টারনেট অ্যাক্সেস ব্যবহার করে) তবে আপনাকে সাহায্য করতে পারে।

এটি কিছুটা দেরি হতে পারে তবে ...

সমস্যাটি হ'ল ডিফল্ট গেটওয়েটি ওপেনভিপিএন দ্বারা পরিবর্তিত হয় এবং এটি আপনার বর্তমান এসএসএইচ সংযোগটি ভেঙে দেয় যদি না আপনি ওপেনভিপিএন শুরু করার আগে উপযুক্ত রুটগুলি সেট আপ না করেন।

যা অনুসরণ করে তা আমার জন্য কাজ করে। এটি iptables এবং ip (iproute2) ব্যবহার করে। নীচে, এটি ধরে নেওয়া হয় যে ওপেনভিপিএন শুরু হওয়ার আগে ডিফল্ট গেটওয়ে ইন্টারফেসটি "এথ0"। ধারণাটি নিশ্চিত করা হয় যে যখন eth0 এর সাথে কোনও সংযোগ তৈরি করা হয়, এমনকি যদি eth0 আর ডিফল্ট গেটওয়ে ইন্টারফেস না হয় তবে সংযোগের জন্য প্রতিক্রিয়া প্যাকেটগুলি আবার E0-এ ফিরে যায়।

আপনি সংযোগ চিহ্ন, ফায়ারওয়াল চিহ্ন এবং রাউটিং টেবিলের জন্য একই নম্বর ব্যবহার করতে পারেন। তাদের মধ্যে পার্থক্য আরও সুস্পষ্ট করার জন্য আমি স্বতন্ত্র সংখ্যা ব্যবহার করেছি।

# set "connection" mark of connection from eth0 when first packet of connection arrives
sudo iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate NEW -j CONNMARK --set-mark 1234

# set "firewall" mark for response packets in connection with our connection mark
sudo iptables -t mangle -A OUTPUT -m connmark --mark 1234 -j MARK --set-mark 4321

# our routing table with eth0 as gateway interface
sudo ip route add default dev eth0 table 3412

# route packets with our firewall mark using our routing table
sudo ip rule add fwmark 4321 table 3412

===

হালনাগাদ:

উপরেরটি দেবিয়ান জেসির জন্য আমার পক্ষে কাজ করে। তবে পুরানো হুইজি সিস্টেমে আমি সবেমাত্র পেয়েছি যে রাউটিং টেবিল এন্ট্রিতে আমাকে "মাধ্যমে" যুক্ত করতে হবে:

# our routing table with eth0 as gateway interface
sudo ip route add default dev eth0 via 12.345.67.89 table 3412

"12.345.67.89" অবশ্যই মূল নন-ভিপিএন গেটওয়ে হতে হবে।

@ এমআরকে উত্তরের উপর ভিত্তি করে, কাজটি আরও দ্রুত করার জন্য আমি এখানে কিছু সাধারণ কোড লিখেছি যাতে আপনার ইন্টারফেস / আইপি পরীক্ষা করতে হবে না:

ip rule add from $(ip route get 1 | grep -Po '(?<=src )(\S+)') table 128
ip route add table 128 to $(ip route get 1 | grep -Po '(?<=src )(\S+)')/32 dev $(ip -4 route ls | grep default | grep -Po '(?<=dev )(\S+)')
ip route add table 128 default via $(ip -4 route ls | grep default | grep -Po '(?<=via )(\S+)')

আমি এই স্ক্রিপ্টটি আমার ভিপিএসের 4 টিতে চেষ্টা করেছি এবং এটি পুরোপুরি কাজ করছে working

hmm আইপি সাবনেট ওভারল্যাপের মত .... আপনার আইপি স্কিমটি সম্পর্কে আরও কিছু না জেনে, আপনার ভিপিএন স্থায়ীকরণের জন্য এনএল।

সুতরাং উদাহরণস্বরূপ, যদি nl.privateinternetaccess.com এর অন্য পাশের রিমোট সাবনেটটি 10.32.43.0/24 হয় এবং আপনার উদাহরণটি একটি অ্যাডস ভিপিসিতে থাকে যার সাবনেট 10.32.44.0/24 হয়। তবে আপনার উত্স ssh ক্লায়েন্ট 10.32.43.0/24 (আপনার অ্যাউস ভিপিসির পক্ষের) এ বাস করে, এটি কার্যকর হবে না, কারণ রিটার্ন এসএস ট্র্যাফিক ভেরিপ্লু হয়ে নেটরল্যান্ডগুলিতে ঠেলে দেওয়া হবে।

এটির সাথে আরও সহায়তার জন্য সম্পূর্ণ আইপি / সাবনেট তথ্য সরবরাহ করুন।

...

ঠিক আছে, সুতরাং ... দেখে মনে হচ্ছে আপনার ডিফল্ট রুটটি টানেলের মধ্যে রয়েছে, আপনি এনএল-এর সাথে সংযুক্ত হওয়ার পরে:

0.0.0.0/1 10.172.1.5 দেব টিউন এর মাধ্যমে

যাতে আপনি সংযোগের পরে এটি পরিবর্তন করতে পারেন। অনেক সময় ভিপিএন সার্ভার আপনাকে বোগাস রুট দেয়। বিশেষত ঝালর কর্পসে এই ক্ষেত্রে, তারা আপনাকে ডিফল্ট রুটে চাপ দিচ্ছে তাই ভিপিএস বক্স থেকে সমস্ত ট্র্যাফিক এনএল যাচ্ছে। ডিফল্ট রুটটি 104.167.102.x এ পরিবর্তন করুন বা আপনার সাবনেট গেটওয়ে ur vps সরবরাহকারীর কাছে যা আছে।

আপনি যখন ভিপিএন উপরে আনেন তখন আপনার ডিফল্ট গেটওয়ে প্রতিস্থাপন করা হয়। এর অর্থ হ'ল যে কোনও ট্রাফিক আপনার বাক্স থেকে উত্পন্ন বা রুটেড ভিপিএন গেটওয়েতে ফরোয়ার্ড করা হবে।

একটি সহজ সমাধান হ'ল যে সমস্ত ট্র্যাফিক আপনি ভিপিএন দিয়ে রুট করতে চান না এবং এটি দিয়ে অন্য কিছু করতে চান না filter একটি সম্ভাবনা হ'ল আপনার বাক্স থেকে উত্পন্ন ট্র্যাফিকটিকে আপনার স্থানীয় উত্সের ঠিকানা দিয়ে বাছাই করা এবং এটি আপনার স্থানীয় গেটওয়ে দিয়ে রুট করা। এটি এসএসএইচের মতো পরিষেবাগুলিকে সঠিকভাবে কাজ করতে দেয়।

আমরা এখানে এটি করব। প্রথমে একটি নতুন রাউটিং টেবিল তৈরি করুন এবং একটি ডিফল্ট রুট যুক্ত করুন যা আপনার স্থানীয় গেটওয়ে দিয়ে সমস্ত কিছু পরিচালনা করে:

# <table> is any number between 2 and 252.
# Check /etc/iproute2/rt_tables for more info.
ip route add default via <gateway> table <table>
ip route add <lan-addr> dev <device> table <table>

এর পরে, একটি নতুন প্যাকেট ফিল্টার নিয়ম তৈরি করুন যা কোনও নির্দিষ্ট শনাক্তকারীর সাহায্যে প্রদত্ত উত্স ঠিকানা থেকে আপনার বাক্সটি রেখে সমস্ত ট্র্যাফিককে চিহ্নিত করে।

# <mark> is any number.
iptables -tmangle -AOUTPUT -s<local-addr> -jMARK --set-mark <mark>

অবশেষে, একটি রাউটিং নীতি তৈরি করুন যা উপরোক্ত উত্পন্ন টেবিলটি ব্যবহার করে উপরে বর্ণিত সমস্ত চিহ্নিত ট্র্যাফিক এবং এটি রুট করে it

ip rule add fwmark <mark> table <table>

আবার, এর মানগুলি <mark>এবং <table>আপনার নিজের পছন্দসই নির্বিচারে সনাক্তকারী।

আমার কাছে পিএফসেন্সে ওপেনভিপিএন সার্ভার চালানোর সাথে সাথে "সুরক্ষার মাধ্যমে সমস্ত ক্লায়েন্ট-উত্পাদিত আইপিভি 4 ট্র্যাফিককে বাধ্য করা" সেটিংসটি অনিচ্ছুক করা হয়েছিল।