Как сделать NAT для openvpn?

Question

[Falseclock]

Есть машина, на которой был поднять openvpn сервер на порту 1194. Все как обычно.

Теперь поднята другая машина с openvpn. Как на старом правильно сделать проброс на новый сервер?

На старой машине потушен сервис и внесены правила:

iptables -t nat -A PREROUTING -p udp --dport 1194 -j DNAT --to-destination 10.204.11.200:1194
iptables -t nat -A POSTROUTING -j MASQUERADE

Соединение доходит на нужный сервер, вижу в логах, но обратной связи с клиентом нет.

Что нужно еще добавить в iptables, чтобы получилось перебросить соединение на новый сервер?

Comments

[mureevms]

Конфиг сервера покажите.

[Falseclock]

mureevms, спасибо. перевел на tcp, все заработало.
Видимо где-то на внешнем firewall не работает DNAT/SNAT

Answer 1

[Drno]

тоесть Вы хотите переадресовать запрос на подключение к VPN со старого сервака на новый?
в Iptables же вроде есть правило redirect.

А не проще на клиентах изменить адрес на новый? или просто домен перенаправить?

Comments

[Falseclock]

redirect же вроде нельзя указать IP адрес, оно же только редиректит порты?

клиентам нет возможности изменить адреса.

[Drno]

Falseclock, клиенты по IP к Вам чтоль конектятся? не по домену??? это извините большая глупость...
https://google.gik-team.com/?q=iptables+redirect+p...

[Falseclock]

Drno, мне в гугле не трудно поискать... видимо вам трудно прочитать мой вопрос и увидеть, что редирект настроен

Answer 2

[ivanfed]

Эх брат с такой же фигней мучаюсь, только у меня handshake проходит хотя навскидку правала такие же как у тебя, клиент vpn устанавливает соединение, но трафик не идет, ну и соответственно так как пинг не проходит через пару минут и соединение считается разорваным.
при том что все тоже самое но с TCP работает без проблем. Шляпа имеено с UDP DNAT

Comments

[ivanfed]

О а я разобрался в чем корень проблемы. В том что после подключения к openvpn клиент получает от сервера маршрут до сервера который за Натом, а не того к которому конектица, из за этого если установлены маршруты заворачивать весь трафик в VPN, путь до натовского сервера также заворачивается в него, из за этого трафик перестает ходить.
можно решить хотябы добавлением такого правила в сервер openvpn
push "route <СЕРВЕР НА КОТОРОМ НАТ> 255.255.255.255 net_gateway"