In Ihrer Konfiguration stammen also alle Pakete, von denen Sie versuchen, sie ursprünglich an das Netzwerk zu senden 10.0.0.1
(weil sie über die tun0
Schnittstelle gehen und deren lokale Adresse lautet 10.0.0.1
). Sie erfassen die Pakete, alles ist soweit in Ordnung.
Nun tun0
sendet die Pakete weiter. Die Quelladresse lautet 10.0.0.1
und Sie möchten, dass die Pakete über eine andere Schnittstelle ( wlp2s0
in Ihrem Fall) gesendet werden. Das ist Routing. Aktivieren Sie also zuerst das Routing:
sysctl -w net.ipv4.ip_forward=1
Wenn man sich danach sucht , wird tcpdump
für wlp2s0
Sie die Pakete mit Quelladresse verlassen bemerken können 10.0.0.1
und nicht mit der Quelladresse des WLAN - Schnittstelle (was man erwarten würde glaube ich). Wir müssen also die Quelladresse ändern und sie heißt Quell-NAT . Unter Linux ist es mit Hilfe von Netfilter / Iptables einfach :
iptables -t nat -A POSTROUTING -o wlp2s0 -s 10.0.0.1 -j MASQUERADE
Bitte überprüfen Sie auch, ob Ihre FORWARD
Kette ACCEPT
Richtlinien hat , oder Sie müssten die Weiterleitung mit etwas erlauben wie:
iptables -A FORWARD -i tun0 -o wlp2s0 -s 10.0.0.1 -j ACCEPT
iptables -A FORWARD -i wlp2s0 -o tun0 -d 10.0.0.1 -j ACCEPT
Jetzt sollte alles funktionieren: Der Linux-Kernel übernimmt das Routing, er verschiebt Pakete von der tun0
Schnittstelle zur wlp2s0
. netfilter sollte die Quell-IP 10.0.0.1
in die von Ihrer wlp2s0
Schnittstelle zugewiesene Adresse für Ausgabepakete ändern . Es speichert alle Verbindungen und wenn die Antwortpakete zurückgehen (falls sie), ändert es die Zieladresse der der wlp2s0
Schnittstelle zugewiesenen Adresse 10.0.0.1
(die "Conntrack" -Funktion).
Nun, es sollte, aber es tut es nicht. Es scheint, dass netfilter mit dieser komplizierten Routing-Konfiguration und der Tatsache verwechselt wird, dass dasselbe Paket zuerst die OUTPUT
Kette durchläuft und dann geroutet wird und zur PREROUTING
Kette kommt. Zumindest bei Debian 8 Box funktioniert es nicht.
Der beste Weg zur Fehlerbehebung bei Netfilter ist die folgende TRACE
Funktion:
modprobe ipt_LOG
iptables -t raw -A OUTPUT -p icmp -j TRACE
iptables -t raw -A PREROUTING -p icmp -j TRACE
Ich aktiviere nur die Ablaufverfolgung für ICMP-Pakete. Sie können zum Debuggen einen anderen Filter verwenden.
Es wird angezeigt, welche Tabellen und Ketten das Paket durchläuft. Und ich kann sehen, dass das Paket nicht weiter die FORWARD
Kette geht (und es wird nicht von der nat/POSTROUTING
Kette gefangen, die es tatsächlich tut SNAT
).
Im Folgenden finden Sie einige Ansätze, um diese Arbeit zu machen.
Ansatz Nr. 1
Der beste Weg, um den Netzfilter zu verwirren, besteht darin, die Quell-IP-Adresse der Pakete in der tun0.c
Anwendung zu ändern . Es ist auch der natürlichste Weg. Wir müssen 10.0.0.1 auf dem Weg nach außen auf 10.0.0.2 und auf dem Rückweg auf 10.0.0.2 auf 10.0.0.1 ändern .
Ich habe tun0.c
mit Quellcode geändert. Hier ist die neue Datei und hier ist eine Patchdatei für Ihre tun0.c
. Änderungen am IP-Header beinhalten auch eine Prüfsummenkorrektur , daher habe ich Code aus dem OpenVPN-Projekt übernommen . Hier ist die vollständige Liste der Befehle, die ich nach einem sauberen Neustart und tun0_changeip.c
Start ausführe :
ifconfig tun0 inet 10.0.0.1/30 up
sysctl -w net.ipv4.ip_forward=1
ip route add default dev tun0 table John
ip rule add from all lookup John
ip rule add from 10.0.0.2 lookup main priority 500
iptables -t nat -A POSTROUTING -o wlp2s0 -s 10.0.0.2 -j MASQUERADE
Bitte beachten Sie, dass Sie in diesem Fall die Umkehrpfadfilterung nicht deaktivieren müssen , da alles legal ist - tun0
nur Pakete empfangen und senden, die zu seinem Subnetz gehören. Sie können auch ein quellenbasiertes Routing anstelle eines schnittstellenbasierten Routings durchführen.
Ansatz Nr. 2
Dies ist möglich, SNAT
bevor die Paketschnittstelle erreicht tun0
wird. Es ist jedoch nicht sehr richtig. In diesem Fall müssen Sie auf jeden Fall die Umkehrpfadfilterung deaktivieren :
sysctl -w net.ipv4.conf.tun0.rp_filter=0
# It won't work without also changing the "all" value
sysctl -w net.ipv4.conf.all.rp_filter=0
Nun tun SNAT
: iptables -t nat -A POSTROUTING- -o tun0 es 10.0.0.1 -j SNAT --to-Quelle ip.address.of.your.wlan.interface
Hier ändern wir die Quelladresse kurz bevor die Pakete das tun0
Gerät erreichen. tun0.c
Code sendet diese Pakete "wie sie sind" (mit geänderter Quelladresse) erneut und sie werden erfolgreich über die WLAN-Schnittstelle weitergeleitet. Möglicherweise haben Sie jedoch eine dynamische IP-Adresse für die WLAN-Schnittstelle und möchten diese verwenden MASQUERADE
(um die Schnittstellenadresse nicht explizit anzugeben). So können Sie Folgendes nutzen MASQUERADE
:
iptables -t nat -A POSTROUTING -o tun0 -s 10.0.0.1 -j SNAT --to-source 10.0.55.1
iptables -t nat -A POSTROUTING -o wlp2s0 -s 10.0.55.1 -j MASQUERADE
Bitte beachten Sie die " 10.0.55.1
" IP-Adresse - es ist anders. Sie können hier jede IP verwenden, es spielt keine Rolle. Die Pakete erreichen die nat/POSTROUTING
Kette auf der wlp2s0
Schnittstelle, wenn wir zuvor die Quell-IP ändern. Und jetzt ist es nicht mehr von einer statischen IP für die WLAN-Schnittstelle abhängig.
Ansatz Nr. 3
Sie können auch verwenden fwmark
. Auf diese Weise brauchen Sie nicht , SNAT
aber Sie werden nur ausgehende Pakete erfassen:
Erstens wir deaktivieren müssen umgekehrten Weg Filterung für , tun0
weil es Pakete weiterleiten , die zu einem anderen Netzwerk gehören:
sysctl -w net.ipv4.conf.tun0.rp_filter=0
# It won't work without also changing the "all" value
sysctl -w net.ipv4.conf.all.rp_filter=0
Now let's alter the routing rules a bit:
# Delete old rules
ip rule del iif tun0 lookup main
ip rule del from all lookup John
# Packets will start going from wlan interface so they will have source address of it
iptables -t mangle -A OUTPUT -o wlp2s0 -j MARK --set-mark 1
ip rule add fwmark 0x1 lookup John
Das ist ein weiterer "Hack" für Routing und Netfilter , der auf meiner Debian 8-Box funktioniert, aber ich empfehle trotzdem, den ersten Ansatz zu wählen , da er natürlicher ist und keine Hacks verwendet.
Sie können Ihre Anwendung auch als transparenten Proxy erstellen . Ich denke, es wäre viel einfacher, als Pakete vom Tun-Gerät zu analysieren.
-j SNAT
, nicht-s SNAT
sudo ip rule add iif tun0 lookup main priority 500
, aber es hat immer noch nicht funktioniert. Ich mag diesen Ansatz, schade, dass ich ihn nicht reproduzieren kann.