Как настроить Ubuntu сервер, чтобы клиенты из локалки могли подключаться к L2TP VPN в интернете?

Есть локальная сеть организации, к интернету все ходят через шлюз под Ubuntu Server.
В iptables пара прямых пробросов портов и вот такая штука, благодаря которой у всех в локалке всё работает:
/sbin/iptables -A POSTROUTING -o ${EXTERNAL_NIC} -j SNAT --to-source ${EXTERNAL_IP} --table nat

Ну, я думал что всё работает.
Сейчас понадобилось с нескольких локальных Win компьютеров подключаться к серверу в интернете по VPN.
IP сервера заранее не известен, может меняться. Доступа к нему нет, доступ к клиентским компьютерам тоже ограничен. Используется L2TP и стандартные виндовые средства.

При подключении доооолго висит "Проверка имени пользователя и пароля" и в итоге отваливается с ошибкой 800.
При подключении через (резервный) мобильный интернет на железном роутере всё у всех работает. Но задача завести подключения через основной канал.

Понимаю что нужно что-то прописать в iptables, но не понимаю что именно.
В интернете в основном пишут о том как поднять свой l2tp сервер и почти нет информации о том как пробросить подключения к чужому. Вроде нужно что-то сделать с протоколами 50 и 51, но что?

UPD. Немного отредактированный полный вывод правил. Подставил переменные вместо реальных значений чтобы было понятнее где есть что.
# sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A INPUT -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 5060:5070 -j ACCEPT
-A INPUT -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p udp -m udp --dport 5060:5070 -j ACCEPT
-A INPUT -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 10000:20000 -j ACCEPT
-A INPUT -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p udp -m udp --dport 10000:20000 -j ACCEPT
-A INPUT -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 5060:5070 -j DROP
-A INPUT -i ${EXTERNAL_NIC} -p udp -m udp --dport 5060:5070 -j DROP
-A INPUT -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 10000:20000 -j DROP
-A INPUT -i ${EXTERNAL_NIC} -p udp -m udp --dport 10000:20000 -j DROP
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output

# sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 34567 -j DNAT --to-destination ${INTERNAL_DVR_RECORDER}:34567
-A PREROUTING -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 5060:5070 -j DNAT --to-destination ${INTERNAL_SIP_SERVER}
-A PREROUTING -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p udp -m udp --dport 5060:5070 -j DNAT --to-destination ${INTERNAL_SIP_SERVER}
-A PREROUTING -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p tcp -m tcp --dport 10000:20000 -j DNAT --to-destination ${INTERNAL_SIP_SERVER}
-A PREROUTING -s ${SIP_PROVEDER}/32 -i ${EXTERNAL_NIC} -p udp -m udp --dport 10000:20000 -j DNAT --to-destination ${INTERNAL_SIP_SERVER}
-A POSTROUTING -o ${EXTERNAL_NIC} -j SNAT --to-source ${EXTERNAL_IP}
  • Вопрос задан
  • 719 просмотров
Пригласить эксперта
Ответы на вопрос 1
karabanov
@karabanov Куратор тега Ubuntu
Системный администратор
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы