我正在嘗試將 VPN 連接埠轉發到開放互聯網以建立遠端辦公網路。當我位於 Office 網路內部時,我的 VPN 可以正常連接,但 VPN 無法在 Office 網路外部正確連接。我有一個使用 AT&T(光纖)ISP 的 Fresh Tomato (2022.6) 路由器,它支援連接埠轉送到開放網路。
舉例來說,我想將 HTTPS 協定而不是 VPN 協定轉送到開放網際網路。這是我檢查網路中的連接埠時得到的結果。
> nmap -Pn -p443-443 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:14 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up (0.0022s latency).
rDNS record for 87.8.12.16: wan1-ip.lan
PORT STATE SERVICE
443/tcp open https
但是,當我離開網路(例如附近的蜂窩塔)時。然後執行連接埠掃描,得到以下結果。
> nmap -Pn -p443-444 homenet****.duckdns.org
Starting Nmap 7.93 ( https://nmap.org ) at 2022-11-25 21:09 CST
Nmap scan report for homenet****.duckdns.org (87.8.12.16)
Host is up.
Other addresses for homenet****.duckdns.org (not scanned): 2607:7700:0:4:0:2:2523:3333
rDNS record for 87.8.12.16: 87-8-12-16.lightspeed.rcsntx.sbcglobal.net
PORT STATE SERVICE
443/tcp filtered https
444/tcp filtered snpp
>
我的 Fresh Tomato Linux 防火牆(使用 iptables)給出以下結果。
> iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N shlimit
-N triggers
-N wanin
-N wanout
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 30 -m state --state NEW,RELATED,ESTABLISHED -m limit --limit 3/sec -j ACCEPT
-A INPUT -p udp -m udp --dport 33434:33534 -m limit --limit 3/sec -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vlan2 -p esp -j ACCEPT
-A FORWARD -i vlan2 -p ah -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 500 -j ACCEPT
-A FORWARD -i vlan2 -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i vlan2 -j wanin
-A FORWARD -o vlan2 -j wanout
-A FORWARD -i br0 -j ACCEPT
-A shlimit -m recent --set --name shlimit --mask 255.255.255.255 --rsource
-A shlimit -m recent --update --seconds 60 --hitcount 4 --name shlimit --mask 255.255.255.255 --rsource -j DROP
-A triggers -p tcp -m tcp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto tcp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A triggers -p udp -m udp --dport 17000:18000 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 17000-18000 --trigger-relate 17000-18000
-A wanin -j TRIGGER --trigger-type in --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A wanin -d 192.168.1.118/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A wanin -d 192.168.1.118/32 -p udp -m udp --dport 443 -j ACCEPT
-A wanout -j triggers
當我在網路上輸入主機名稱時,伺服器會返回登入網頁,因此 IP 位址是正確的。但是,在網路外則失敗。我不確定問題是什麼?是否是 AT&T ISP 或 BGW320 路由器的問題?另外我不確定為什麼連接埠 8080 可以在網路外部和內部存取?
設定:AT&T ISP >-ONT AUTH-> BGW320 路由器/網關 >-IP 直通-> R7000 Fresh Tomato 路由器 > OpenVPN 和 HTTPS Web 入口網站伺服器
BGW320 路由器已執行重設。 BGW320 路由器上停用了防火牆和 WiFi。