원격 사무실 네트워크를 생성하기 위해 VPN 포트를 개방형 인터넷으로 전달하려고 합니다. VPN이 Office 네트워크 내부에 있을 때는 제대로 연결되지만, VPN이 Office 네트워크 외부에서는 제대로 연결되지 않습니다. 개방형 인터넷으로의 포트 전달을 지원하는 AT&T(Fiber) ISP를 사용하는 Fresh Tomato(2022.6) 라우터가 있습니다.
예를 들어 VPN 프로토콜이 아닌 HTTPS 프로토콜을 개방형 인터넷에 전달하고 싶습니다. 네트워크의 포트를 확인할 때 나타나는 내용은 다음과 같습니다.
> nmap -Pn -p443-443 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:14 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up (0.0022s latency).
rDNS record for 87.8.12.16: wan1-ip.lan
PORT STATE SERVICE
443/tcp open https
하지만 근처 셀룰러 타워 등 네트워크를 벗어나 이동하는 경우. 그런 다음 포트 스캔을 수행하면 다음과 같은 결과가 나타납니다.
> nmap -Pn -p443-444 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:09 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up.
Other addresses for homenet****.duckdns.org (not scanned): 2607:7700:0:4:0:2:2523:3333
rDNS record for 87.8.12.16: 87-8-12-16.lightspeed.rcsntx.sbcglobal.net
PORT STATE SERVICE
443/tcp filtered https
444/tcp filtered snpp
>
My Fresh Tomato Linux 방화벽(iptables 사용)은 다음과 같은 결과를 제공합니다.
> iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N triggers
-N wanin
-N wanout
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -p esp -j ACCEPT
-A FORWARD -i vlan2 -p ah -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --mask 255.255.255.255 --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --mask 255.255.255.255 --rsource -j DROP
-A triggers -p tcp -m tcp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto tcp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A triggers -p udp -m udp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A wanin -j TRIGGER --trigger-type in --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A wanin -d 192.168.1.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A wanin -d 192.168.1.118/32 -p udp -m udp --dport 443 -j ACCEPT
-A wanout -j triggers
네트워크에 호스트 이름을 입력하면 서버가 로그인 웹 페이지를 반환하므로 IP 주소가 정확합니다. 그러나 네트워크 외부에서는 실패합니다. 문제가 무엇인지 잘 모르겠습니다. AT&T ISP 또는 BGW320 라우터에 문제가 있을 수 있습니까? 또한 포트 8080이 네트워크 외부와 내부에서도 연결 가능한 이유가 무엇인지 잘 모르겠습니다.
설정: AT&T ISP >-ONT AUTH-> BGW320 라우터/게이트웨이 >-IP 통과-> R7000 신선한 토마토 라우터 > OpenVPN 및 HTTPS 웹 포털 서버
BGW320 라우터가 재설정을 수행했습니다. BGW320 라우터에서는 방화벽과 WiFi가 비활성화되어 있습니다.