Estoy intentando reenviar un puerto VPN a Internet abierto para crear una red de oficina remota. Mi VPN se conecta correctamente cuando estoy dentro de la red de Office, sin embargo, la VPN no se conecta correctamente fuera de la red de Office. Tengo un enrutador Fresh Tomato (2022.6) que utiliza el ISP de AT&T (Fibra) que admite el reenvío de puertos a Internet abierto.
Por ejemplo, quiero reenviar el protocolo HTTPS y no el protocolo VPN a Internet abierto. Esto es lo que obtengo cuando reviso el puerto en la red.
> nmap -Pn -p443-443 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:14 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up (0.0022s latency).
rDNS record for 87.8.12.16: wan1-ip.lan
PORT STATE SERVICE
443/tcp open https
Sin embargo, cuando me alejo de la red, como por ejemplo de una torre de telefonía móvil cercana. Luego realizo un escaneo de puertos, obtengo el siguiente resultado.
> nmap -Pn -p443-444 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:09 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up.
Other addresses for homenet****.duckdns.org (not scanned): 2607:7700:0:4:0:2:2523:3333
rDNS record for 87.8.12.16: 87-8-12-16.lightspeed.rcsntx.sbcglobal.net
PORT STATE SERVICE
443/tcp filtered https
444/tcp filtered snpp
>
Mi firewall Fresh Tomato Linux (usando iptables) da el siguiente resultado.
> iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N triggers
-N wanin
-N wanout
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -p esp -j ACCEPT
-A FORWARD -i vlan2 -p ah -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --mask 255.255.255.255 --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --mask 255.255.255.255 --rsource -j DROP
-A triggers -p tcp -m tcp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto tcp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A triggers -p udp -m udp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A wanin -j TRIGGER --trigger-type in --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A wanin -d 192.168.1.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A wanin -d 192.168.1.118/32 -p udp -m udp --dport 443 -j ACCEPT
-A wanout -j triggers
La dirección IP es correcta ya que el servidor devuelve una página web de inicio de sesión cuando escribo el nombre del host en la red. Sin embargo, falla fuera de la red. ¿No estoy seguro de cuál es el problema? ¿Podría ser un problema con el ISP de AT&T o el enrutador BGW320? Además, no estoy seguro de por qué se puede acceder al puerto 8080 fuera de la red y también dentro de ella.
Configuración: AT&T ISP >-ONT AUTH-> Enrutador/Gateway BGW320 >-Paso IP-> Enrutador R7000 Fresh Tomato > Servidores de portal web OpenVPN y HTTPS
Se realizó un reinicio del enrutador BGW320. El firewall y el WiFi están deshabilitados en el enrutador BGW320.