Как пробросить порт через openvpn?

Question

[SantaClaus16]

Два jabber сервера (vps). У обоих есть только eth0 с внешним статическим ip и lo соответственно. Между серверами поднят тунель openvpn (tun). В ccd ничего не прописано (пустой файл), route и iroute так же не прописаны (за серварами нет никаких локалок). Оба сервара отлично друг друга видят, через tun, пинги идут, ssh работает с одного на другой.
Немного конфигураций:
Сервер 1 - eth0 - xxx.xxx.xxx.xxx, tun0 - 10.8.37.1, iptables v1.4.14
Сервер 2 - eth0 - yyy.yyy.yyy.yyy, tun0 - 10.8.37.2, iptables v1.4.4
net.ipv4.ip_forward=1 - на обеих машинах
Задача пробросить порт с сервер2:5222 на сервер1:12001. Иначе говоря чтобы к 10.8.37.1:5222 был доступ через yyy.yyy.yyy.yyy:12001.

Записи на сервере2 типа:
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 12001 -j DNAT --to-destination 10.8.37.1:5222
iptables -A FORWARD -d 10.8.37.1/32 -p tcp -m tcp --dport 5222 -j ACCEPT
результата не дают.

Answer 1

[SantaClaus16]

В итоге заработало так:
iptables -t nat -A PREROUTING -d yyy.yyy.yyy.yyy -p tcp -m tcp --dport 12001 -j DNAT --to-destination 10.8.37.1:5222

iptables -t nat -A POSTROUTING -d 10.8.37.1 -p tcp -m tcp --dport 5222 -j SNAT --to-source 10.8.37.2

Answer 2

[Ильяс]

Включен ли форвардинг?
sysctl net.ipv4.ip_forward=1

Comments

[SantaClaus16]

Да, на обоих машинах, забыл упомянуть.

[Ильяс]

еще необходимо пропускать установившиеся соединения.
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

[bukass]

Нахрена там форвард пакетов, если вы на машинку доступ даете?
Интерфейс сам же пишешь что tun0 а правило для eth0 создаешь?

Первым делом
Покажи iptables-save

[SantaClaus16]

IlyasR: к сожалению так же ничего не дает. nmap пишет port filtred при сканировнии yyy.yyy.yyy.yyy:12001. Если сканить напрямую 10.8.37.1:5222 - port open.

[SantaClaus16]

bukass: # Generated by iptables-save v1.4.4 on Mon Sep 14 11:12:16 2015
*nat
:PREROUTING ACCEPT [15277:3872458]
:POSTROUTING ACCEPT [11306:618086]
:OUTPUT ACCEPT [11107:607700]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 12001 -j DNAT --to-destination 10.8.37.1:5222
COMMIT
# Completed on Mon Sep 14 11:12:16 2015
# Generated by iptables-save v1.4.4 on Mon Sep 14 11:12:16 2015
*filter
:INPUT ACCEPT [314312:184492761]
:FORWARD ACCEPT [154:8744]
:OUTPUT ACCEPT [328000:191430308]
-A FORWARD -d 10.8.37.1/32 -p tcp -m tcp --dport 5222 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT

[bukass]

У тебя и так все разрешено, пакеты openvpn будут проходить через цепочку input!
Для чего цепочкa nat?
Тебе необходимо сделать только замену портов в цепочке input

[bukass]

Если она так уж нужна...

[SantaClaus16]

bukass: можно рецепт готовый как через input сделать?

[bukass]

SantaClaus16: Стоп, ты хочешь попадать на внешний IP сервера 1 на серый IP сервера 2?

[bukass]

Через белы ип сервра 1 на серый ип сервера 2, вернее

[SantaClaus16]

bukass: Спасибо, вопрос решил, рецепт отписал выше.