Linux ポート転送の問題

tag-icon tag-icon linux routing nat port-forwarding proxmox
Linux ポート転送の問題

木が見えなくなりました。ヒントがあれば教えてください。

ルート サーバーがあり、proxmox をインストールしました。パブリック IP は 1 つだけです。ルーティング設定を使用しました。2FA や TLS 証明書などの基本的な設定をいくつか行い、pfsense を実行して、プライベート サブネットに openvpn し、インターネットから proxmox Web UI へのアクセスをブロックできるようにしました。

できない何が足りないのかを突き止めてください。何をしても、Debian から pfsense VM へのポート転送が機能しないようです。

IP 転送が有効になっています:

cat /proc/sys/net/ipv4/conf/enp35s0/forwarding
1

プライベート サブネットがあり、そこにいくつかのクライアント VM があり、すべて正常に動作します。

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.0/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

パブリックアドレスを持つメインメインインターフェイス:

auto enp35s0
iface enp35s0 inet static
        address 1.1.1.175/26
        gateway 1.1.1.129
        up route add -net 1.1.1.128 netmask 255.255.255.192 gw 1.1.1.129 dev enp35s0

enp35s0 では、すべて正常で、ssh と Web UI にアクセスできます。これが何らかの理由で間違っていると思われる構成です。

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        # NAT
        post-up   iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        # Port Forward
        post-up iptables -t nat -A PREROUTING -d 1.1.1.175 -p tcp --dport 1194 -j DNAT --to-destination 172.16.0.2:1194
        post-up iptables -A FORWARD -p tcp -d 172.16.0.2 --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        post-up iptables -A POSTROUTING -t nat -p tcp -m tcp -s 172.16.0.2 --sport 1194 -j SNAT --to-source 1.1.1.175
        post-down iptables -t nat -D PREROUTING -i enp35s0 -p tcp --dport 1194 -j DNAT --to 172.16.0.2:1194

だから基本的に:

< インターネット > <Debian 1.1.1.175> <pfSense 172.16.0.2 / 10.0.0.1> <クライアント 10.0.0.2>

クライアントは pfSense DHCP から IP を取得し、pfsense に ping してインターネットにアクセスできます。これは、vmbr0 の基本的な機能とルーティングが期待どおりに動作していることを意味していると思います。

動作しないのは、pfSense で構成された OpenVPN サーバーに外部からアクセスできないことです。nmap でテストすると、ポートが閉じていると報告されるだけです。

何か案は?

編集1: 組み込みのPVEファイアウォールは使用しません

Nikitaの提案に従って、次のIP転送として構成を保持しました

grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward=1

iptables保存を作成し、サーバーを再起動して設定が維持されているかどうかを確認します。インターフェース設定は次のようになります。

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0

編集2: ルーティングテーブルは私にとっては問題ないようです:

default via 1.1.1.129 dev enp35s0 proto kernel onlink
10.0.0.0/24 dev vmbr1 proto kernel scope link src 10.0.0.0
1.1.1.128/26 via 1.1.1.129 dev enp35s0
1.1.1.128/26 dev enp35s0 proto kernel scope link src 1.1.1.175
172.16.0.0/24 dev vmbr0 proto kernel scope link src 172.16.0.1

関連情報