Linux. iptables. Перенаправление RDP с одного сервера на другой. Как?

Question

[Никита Парфенович]

Имеется офис1 с подсетью 192.168.6.0. Имеется офис2 с подсетью 192.168.4.0.
В офисе1 есть сервер 192.168.6.12, в офисе2 есть сервер 192.168.4.30. Это серверы 1С. офис1 и офис2 связаны по openvpn, шлюзы в офисах на Debian 7. Необходимо в обоих офисах настроить файрвол, чтобы когда клиенты стучались на 192.168.4.30, они попадали на 192.168.6.12. В офисе1 настроил с полпинка, а вот в офисе2 не получается, как бы не извращатся с iptables. Подскажите решение, пожалуйста.

iptables -t nat -A PREROUTING -p tcp -d 192.168.4.30 --dport 3389 -j DNAT --to-destination 192.168.6.12:3389
iptables -t nat -A POSTROUTING -p tcp --dst 192.168.6.12 --dport 3389 -j SNAT --to-source 192.168.4.30
iptables -A FORWARD -d 192.168.6.12 -p tcp --dport 3389 -j ACCEPT

вот эти правила работают в офисе1, но в офисе2 не работает...

сети 192.168.4.0 и 192.168.6.0 видят друг друга

Answer 1

[Никита Парфенович]

Всем спасибо за ответы и комментарии, решение такое нашел, по совету товарища.
Сделал доменное имя 3 уровня, в панели управления доменом просто поставил нужный ip, и при необходимости просто буду менять его там. Все клиенты будут ходить на сервер как раз по этому доменному имени.

Comments

[mureevms]

Как так-то? И это решение задачи?
Вы ходите из второго офиса напрямую на сервер 192.168.4.30, хоть по имени, хоть по IP. Т.е. поставленную задачу Вы не решили.

[Никита Парфенович]

mureevms: по факту, на 192.168.4.30 нужно попадать только в определенном случае, скажем так при положительном условии "а". И если это условие отрицательное, нужно чтобы все попадали на 192.168.6.12. Домен 3 уровня решает задачу. Когда мне нужно, я прописываю туда 192.168.4.30, а когда не нужно, прописываю 192.168.6.12

Answer 2

[ldv]

Клиенты из офиса 2 ходят на 192.168.4.30 напрямую, а не через роутер.

Comments

[Никита Парфенович]

в общем, я так понимаю, мне придется делать все это хозяйство на *.4.30, т.е. на Windows...... печально

[ldv]

Никита Парфенович: можно маршрут до 192.168.4.30/32 через шлюз на клиентах прописать попробовать

[Никита Парфенович]

ldv: на клиентах настраивать не вариант, мне нужно решение, как говорится, в пару кликов. В нужный момент быстро все перенастроить.

[ldv]

Никита Парфенович: или поднять dns-сервер, настроить маленький ttl и обращаться к серверам по имени. При необходимости менять ip в DNS

Answer 3

[Sly_tom_cat .]

А форвардинг разрешен?
Что пишет
# cat /proc/sys/net/ipv4/ip_forward
?

если ноль, то надо разрешить:
# echo "1" > /proc/sys/net/ipv4/ip_forward
# sysctl net.ipv4.ip_forward=1

Comments

[Никита Парфенович]

разрешен конечно, в офисе2 стоит как и офисе 1 полноценный шлюз с раздачей Интернета

Answer 4

[mureevms]

Приложите правила с обоих шлюзов с указанием их локальных адресов, а так же какой из серверов является сервером OVPN.
Вообще не очень понятно для чего эти действия с DNATом. У вас разве локальные подсети не видят друг друга? Если нет, но настраивайте OVPN, а не фаер и ходите напрямую в удаленную подсеть.

Comments

[Никита Парфенович]

ну здесь есть смысл) в общем, нужно именно сделать так, чтобы стучались на один IP по RDP протоколу. а попадали на другой, а в определенный момент запустить некий скрипт, и тогда уже попадать реально на ip *.4.30. Правил там шибко важных нет, единственное, OVpn автоматом раздает маршруты. Т.е. подсеть с офиса1 становится доступной для офиса2 и наоборот. Локальные адреса шлюзов 192.168.4.254 и 192.168.6.254, OVpn сервер в офисе1, имеет ip 10.8.0.1

[mureevms]

>> ну здесь есть смысл)
т.е. это просто надо, но для чего не скажу)?
Вы бы задачу описали, а то может костыли городите
У вас клиенты просто не попадают под правила ната, поэтому и не работает. ldv правильно сказал, что клиенты из второго овиса ходят на 192.168.4.30 напрямик, т.к. они в одной подсети.

[Никита Парфенович]

mureevms: да, я уже совсем заработался, что забыл совсем, что клиенты напрямую ходят)

[Никита Парфенович]

mureevms: ну как бы могу сказать, но лучше такие вещи в интернетах не освещать))) горожу действительно костыли, и понимаю, просто изначально все сделано неправильно было