Управление удалённым маршрутизатором. Как пробросить порт извне в хост за туннелем?

Question

[Владимир Кивва]

Дано:

• HV1 гипервизор debian c белым IP
  
• VM1 внутри гипервизора с установленным OpenVPN-сервером
  
• Маршрутизатор R1 c поднятым туннелем tun0 до VM1
  
• До VM1 нормально пробрасывается снаружи порт, т.к. работают SSH и OpenVPN
  
• C VM1 работает telnet до R1
  
• @VM1 cat /etc/sysctl.conf net.ipv4.ip_forward=1
  

Конфигурация OpenVPN сервера:

port 9094
proto tcp
dev tun

ca .keys/ca.crt
cert .keys/server.crt
key .keys/server.key  # This file should be kept secret
dh .keys/dh2048.pem

server 10.0.141.0 255.255.255.0
client-config-dir /etc/openvpn/ccd

keepalive 10 120
tun-mtu 1500
mssfix 1450
cipher AES-256-CBC
auth sha1
user nobody
group nogroup
persist-key
persist-tun

@VM1 cat /etc/openvpn/ccd/cli1:

iroute 192.168.141.0 255.255.255.0 10.0.141.2
ifconfig-push 10.0.141.2 10.0.141.1

@VM1 tcpdump:

10:32:52.881288 IP ip1-2-3-4.58268 > 10.0.141.2.http: Flags [S], seq 2942271875, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
10:32:58.638323 IP ip1-2-3-4.58266 > 10.0.141.2.http: Flags [S], seq 2324022312, win 8192, options [mss 1460,nop,nop,sackOK], length 0

Задача:
Как сделать, чтобы при обращении на порт HV1 клиент попадал на порт R1?
Грубо говоря, хочу удалённо управлять роутером, который использует 4G подключение

Answer 1

[sta-s2z]

Если я правильно понял схему, то нужно на HV1 пробросить порт до VM1, а на VM1 этот же порт пробросить до R1

Comments

[Владимир Кивва]

Да, первый проброс работает, второй не хочет

Answer 2

[res2001]

Не стоит пробрасывать еще один порт - используйте ВПН для доступа к сети за ВПН сервером.
У вас нет строки конфигурации, которая бы прописывала маршрут на стороне клиента к сети за ВПН-сервером. В файле cli1 должно быть что-то типа:
push "route 192.168.142.0 255.255.255.0"
(адреса подставить свои)
Инструкция iroute добавляет маршрут на ВПН сервере до сети за клиентом.