Ich versuche, einen VPN-Port an das offene Internet weiterzuleiten, um ein Remote-Büronetzwerk zu erstellen. Meine VPN-Verbindung funktioniert einwandfrei, wenn ich mich im Büronetzwerk befinde, aber außerhalb des Büronetzwerks funktioniert die VPN-Verbindung nicht einwandfrei. Ich habe einen Fresh Tomato-Router (2022.6) mit AT&T (Glasfaser) ISP, der die Portweiterleitung an das offene Internet unterstützt.
Ich möchte beispielsweise das HTTPS-Protokoll und nicht das VPN-Protokoll an das offene Internet weiterleiten. Folgendes erhalte ich, wenn ich den Port im Netzwerk überprüfe.
> nmap -Pn -p443-443 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:14 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up (0.0022s latency).
rDNS record for 87.8.12.16: wan1-ip.lan
PORT STATE SERVICE
443/tcp open https
Wenn ich mich jedoch vom Netzwerk entferne, beispielsweise zu einem nahegelegenen Mobilfunkmast, und dann einen Portscan durchführe, erhalte ich das folgende Ergebnis.
> nmap -Pn -p443-444 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:09 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up.
Other addresses for homenet****.duckdns.org (not scanned): 2607:7700:0:4:0:2:2523:3333
rDNS record for 87.8.12.16: 87-8-12-16.lightspeed.rcsntx.sbcglobal.net
PORT STATE SERVICE
443/tcp filtered https
444/tcp filtered snpp
>
Meine Fresh Tomato Linux-Firewall (mit iptables) liefert das folgende Ergebnis.
> iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N triggers
-N wanin
-N wanout
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -p esp -j ACCEPT
-A FORWARD -i vlan2 -p ah -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --mask 255.255.255.255 --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --mask 255.255.255.255 --rsource -j DROP
-A triggers -p tcp -m tcp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto tcp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A triggers -p udp -m udp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A wanin -j TRIGGER --trigger-type in --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A wanin -d 192.168.1.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A wanin -d 192.168.1.118/32 -p udp -m udp --dport 443 -j ACCEPT
-A wanout -j triggers
Die IP-Adresse ist korrekt, da der Server eine Anmelde-Webseite zurückgibt, wenn ich den Hostnamen im Netzwerk eingebe. Außerhalb des Netzwerks schlägt dies jedoch fehl. Ich bin mir nicht sicher, wo das Problem liegt. Könnte es ein Problem mit dem AT&T-ISP oder dem BGW320-Router sein? Außerdem bin ich mir nicht sicher, warum Port 8080 sowohl außerhalb als auch innerhalb des Netzwerks erreichbar ist?
Setup: AT&T ISP >-ONT AUTH-> BGW320 Router/Gateway >-IP Passthrough-> R7000 Fresh Tomato Router > OpenVPN & HTTPS Web Portal Servers
Beim BGW320-Router wurde ein Reset durchgeführt. Firewall und WLAN sind auf dem BGW320-Router deaktiviert.