Как пробросить порт до клиента VPN?

Question

[tim89]

Добрый день!

Для дома мне белый IP нужен был только для доступа по ssh. Сейчас нашел выгодный тариф, но на нем не предоставляют белых адресов. Решил сделать себе ssh доступ через офис знакомого, но пока не получается :)

Дома сервер на debian, к которому нужно получить доступ.
В офисе сервер с белым IP ($EXT_IP).
Домашний сервер подключается по vpn и получает $LOCAL_VPN_IP.

С офисного сервера я могу спокойно подключиться по ssh к домашнему по $LOCAL_VPN_IP
На офисном гейте пишу:

iptables -t nat -A PREROUTING -i $EXT_IF -d $EXT_IP -p tcp --dport 5555 -j DNAT --to-destination  $LOCAL_VPN_IP:22

Пытаюсь подключиться по $EXT_IP:5555 — не работает. Причем если прописать абсолютно такое же правило, но не для vpn-клиента, а для любого компа в локальной сети офиса, то всё ок. Почему так?
По всей видимости, задача не профессионального уровня, и в гугле я особо ничего полезного не нашел.

Answer 1

[Сергей Петриков]

Попробуйте так:

/sbin/iptables -D FORWARD -p tcp -i eth0 -d $ifconfig_pool_remote_ip --dport 22 -j ACCEPT
/sbin/iptables -t nat -D PREROUTING -p tcp -d $PUBLIC_IP --dport 22 -j DNAT --to-destination $ifconfig_pool_remote_ip:22

Answer 2

[Игорь]

В цепочку FORWARD разрешающее правило добавили?
Что-то вроде:

iptables -I FORWARD  -p tcp -m tcp - d $LOCAL_VPN_IP --dport 22 -j ACCEPT

Answer 3

[tim89]

Да, это тоже пробовал — не помогло.

Comments

[Игорь]

Пробуйте tcpdump-ом смотреть трафик, на внешнем интерефейсе гейта, на интерфейсе vpn, на интерфейсе домашнего сервера и уже из этого делать выводы.

[tim89]

Нашел проблему, но не нашел пока решение. Дело в том, что ответы со стороны домашнего сервера идут по дефолтному маршруту (в роутер, через eth0), хоть и приходят из ppp0. Если прописать route add -net 123.123.123.123 netmask 255.255.255.255 dev ppp0, где IP — адрес, с которого я подключаюсь, то всё работает.