Как прокинуть порт iptabless в сеть за VPN?

Question

[Дима Петров]

как можно прокинуть порт в сеть за vpn.

схема такая:
входящее соединение -> мой внешний ip -> vpn -> локальная сеть -> конечное устройство

Если я правильно понимаю нужно чтоб пакет передавался от моего локального адаптера.
Но что то не получилось.

Помогите пожалуйста.

Спасибо.

Comments

[none none]

Так покажите что делали или хоть рисунок сделайте.

Answer 1

[Дима Петров]

получилось сделать так
прокинул порт
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 58423 -j DNAT --to-destination 172.16.74.80(локальная сеть за vpn):80

Подменяю ip с которого обращаются
iptables -t nat -I POSTROUTING 1 -p tcp --dst 172.16.74.80 --dport 80 -j SNAT --to-source 172.17.1.1

Спасибо.

Answer 2

[younghacker]

Схема непонятна.
Как я её вижу: Приходит пакет на Ваш публичный IP потом он зачем-то попадает в VPN после него он уходит в локальную сеть и там находит конечное устройство. Между вашим IP и локальной сетью включён VPN хотя обычно его включают между внешними публичными IP при передаче информации по чужим линиям связи.

Попробую угадать схему и проблему.
Вы пытаетесь подключившись снаружи через VPN добраться до устройства которое ничего не знает о Вашем существовании. Уточняю. Вы приходите из сети скажем с адресами 10.0.0.0/24, а устройство подключено в сеть с адресным пространством 192.168.1.0/24.
Вопросы:

• На конечном устройстве настроен Default Gate? Иначе оно не знает куда слать ответ в чужую сеть;
  
• Default Gate находится на том же ядре на котором поднят VPN? Иначе откуда ему знать где находится Gate для сети 10.0.0.0/24;
  
• Там где поднят VPN включена маршрутизация? И в ядре и в VPN?
  

Есть два пути:
1) настроить маршрутизацию
2) настроить порт форвардинг или DMZ

tcpdump Вам откроет все тайны сетей.