Как организовать видимость IP адресов VPN-клиентов внутри локальной сети?

Question

[Денис Юрьев]

Дано
OpenVPN-сервер работает в режиме туннеля сетевого уровня (device type tun)
Смена на канальный уровень (device type tap) невозможна, так как среди клиентов есть яблочные устройства на iOS

ОС - Linux Debian 12
Version OpenVPN - 2.6
Внешний IP-адрес x.y.z.a (за натом, не имеет никакого значения, все настроено, все работает)
Внутренний IP-адрес во внутреннем контуре организации - 10.0.0.5
Подсеть внутреннего контура 10.0.0.0/24
Внутренний IP-адрес в VPN-туннеле - 10.1.0.1

Соответственно клиентам адреса выдаются из подсети 10.1.0.0/24

Теперь вопрос.
Возможно ли, а если возможно, то как сделать, чтобы сервисы во внутреннем контуре (Веб-сервера, серверы бд и так далее) видели IP адреса VPN-клиентов (например, 10.1.0.112), вместо локального IP-адреса VPN-сервера 10.0.0.5

Comments

[Valentin Barbolin]

Да, можно просто выключи NAT и настрой машрутизацию.

Answer 1

[ValdikSS]

То, что вы хотите получить, является стандартным поведением маршрутизации в целом и VPN в частности. Переключение в режим L2 (tap) вам не даст никаких преимуществ и не приблизит к решению проблемы.

Вероятно, у вас включён source NAT для подсети VPN. Отключите его, правильно настройте маршрутизацию на всех точках, и всё заработает.

Comments

[Денис Юрьев]

Да, вы правы.

Зашорился и очевидное пропустил

Answer 2

[Drno]

А зачем? чем плоха маршрутизация?
Один из вариантов - сделать revers proxy, который будет пересылать запросы куда надо

Ну либо подключить веб сервер к VPN и ходить по этому IP