Я пытаюсь перенаправить порт VPN в открытый интернет для создания удаленной офисной сети. Мой VPN подключается правильно, когда я нахожусь внутри сети Office, однако VPN не подключается правильно за пределами сети Office. У меня есть маршрутизатор Fresh Tomato (2022.6), использующий AT&T (Fiber) ISP, который поддерживает переадресацию портов в открытый интернет.
Для примера, я хочу перенаправить протокол HTTPS, а не протокол VPN в открытый интернет. Вот что я получаю, когда проверяю порт в сети.
> nmap -Pn -p443-443 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:14 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up (0.0022s latency).
rDNS record for 87.8.12.16: wan1-ip.lan
PORT STATE SERVICE
443/tcp open https
Однако, когда я выхожу из сети, например, на близлежащую сотовую вышку, и затем выполняю сканирование портов, я получаю следующий результат.
> nmap -Pn -p443-444 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:09 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up.
Other addresses for homenet****.duckdns.org (not scanned): 2607:7700:0:4:0:2:2523:3333
rDNS record for 87.8.12.16: 87-8-12-16.lightspeed.rcsntx.sbcglobal.net
PORT STATE SERVICE
443/tcp filtered https
444/tcp filtered snpp
>
Мой Linux-брандмауэр Fresh Tomato (использующий iptables) дает следующий результат.
> iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N triggers
-N wanin
-N wanout
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -p esp -j ACCEPT
-A FORWARD -i vlan2 -p ah -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --mask 255.255.255.255 --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --mask 255.255.255.255 --rsource -j DROP
-A triggers -p tcp -m tcp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto tcp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A triggers -p udp -m udp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A wanin -j TRIGGER --trigger-type in --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A wanin -d 192.168.1.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A wanin -d 192.168.1.118/32 -p udp -m udp --dport 443 -j ACCEPT
-A wanout -j triggers
IP-адрес правильный, так как сервер возвращает страницу входа в систему, когда я ввожу имя хоста в сети. Однако за пределами сети он не работает. Я не уверен, в чем проблема? Может ли это быть проблема с провайдером AT&T или маршрутизатором BGW320? Также я не уверен, почему порт 8080 доступен как за пределами сети, так и внутри нее?
Настройка: AT&T ISP >-ONT AUTH-> Маршрутизатор/шлюз BGW320 >-IP Pass through-> Маршрутизатор R7000 Fresh Tomato > OpenVPN и серверы веб-портала HTTPS
Выполнен сброс маршрутизатора BGW320. На маршрутизаторе BGW320 отключены брандмауэр и WiFi.