Как выдавать разные белые ip клиентам через ovpn и потом пробросить порты?

Question

[mimiseksimi]

Есть vps с тремя белыми айпи адресами ( 1 основной и 2 дополнительных), у меня дома стоит сервер на котором две VM стоят, хочу через впн туннель пробросить порты и изменить внешний айпи вм, как это можно реализовать? Уже стоит openvpn сервер и через iptables

sudo iptables -t nat -A PREROUTING -d основнойайпи -j DNAT --to-destination 10.8.0.2

Но ovpn выдает внешний айпи адрес основной, а мне надо подключаться по основному айпи(в впн), а сам сервер уже возвращал виртуалке один их дополнительных айпи и на него уже через iptables пробрасывать порты и сама вм выходила в сеть.

Answer 1

[SunTechnik]

Хотите странного, вряд ли реализуемое.
Зачем прокидывать порты, если будет выдан белый ip?

Обычно, под пул клиентов openvpn выделяется отдельная подсеть с серыми адресами.

Как вариант:
Настраиваем обычный openvpn сервер с серыми ip, но постоянными для клиентов.
Средствами nat решаем вопрос привязки клиента к белому ip. (хоть по портам, хоть полностью ip в ip)

Comments

[mimiseksimi]

У меня дома к сожалению нету белого айпи , по этому и хочу через впн туннель в локальную сеть на каждую ум пробросить , можете рассказать более подробнее о вашем предложении?

[SunTechnik]

Что вызывает вопрос с предыдущем посте?

VPN сервер подняли?
На vps несколько белых ip поднято?
Теперь настраиваете NAT, что бы пакеты на белый адрес перенаправлялись на ip vpn клиента виртуалки.

На самой vm в настройках не появится белый ip. На нее будут приходить пакеты, предназначенные кокретному белому адресу (точнее - по критерею указанному в nat).

Answer 2

[d-stream]

А чего не сделать nginx/haproxy на vps которые будут прокидывать нужное в туннель, на другом конце которого либо опять же nginx/haproxy будет прокидывать в нужную виртуалку/порт?

Answer 3

[ValdikSS]

1. Добавьте на VPN-сервере маршрут до необходимого дополнительного IP-адреса через VPN-туннель
   
2. Настройте директорию client-config-dir на сервере, в файл клиента добавьте строку iroute дополнительный-ip-адрес — это позволит использовать VPN-клиенту использовать этот IP-адрес в качестве адреса источника (source IP)
   
3. Назначьте адрес на VPN-клиенте, добавьте маршрут с его использованием.
   

Полагается, что дополнительный IP-адрес на сервер вам приходит маршрутом, а не назначен на интерфейс.