Как написать правильно NAT правило в iptables в такой конфигурации?

Question

[akelsey]

Здравствуйте,
Есть такая схема:


Windows 10 Ent - Hyper-V host с двумя физическими ethernet. Eth0 - хост, eth1 - hyper-v. Т.е. виртуальный свич
hyper-v сконфигурен на eth1.
Роутер Mikrotik 2011, для Hyper-V отдельный Ethernet ни с кем не в бридже - на нём 10 VLAN.
На микроте статический адрес, но самый нужные порты уже заняты (443, 25, 110, 143) и его использовать нельзя (для 443 используется sslh уже тоже под завязку используется, т.е. без вариантов). Для виртуальных машин требуется отдельный IP адрес (для различных экспериментов).
Для этого куплен VPS (за 70 рублей в мес.), на котором поднят OpenVPN (TCP) сервер и микротик ему клиент.
Правилом Mangle весь трафик с 10.10.0.0/16 роутится через туннель. На VPS сконфигурен iptables - знаний и гугления мне хватило что бы сконфигурировать его как мне требуется, на правильную виртуальную машину.
Всё работает как нужно, мне, кроме одного. Далее внимание на зеленные и красную стрелочки.

Когда я с хоста подключаюсь например к X.X.X.X телнетом на порт 25, то все запросы идут от Y.Y.Y.Y на X.X.X.X:25 и виртуалки видят хост Y.Y.Y.Y пытаются законнектиться с ним (Зеленные стрелочки), но всё терминируется на Mikrotik (Красная стрелочка), т.к. данный адрес принадлежит ему, и в туннель уже ничего не улетает. (И требуется отдельная машина где то вне сети моего роутера, они конечно у меня есть, но это не очень удобно для работы и отладки)

Вопрос у меня один - как написать правило iptables на VPS что бы если вдруг запросы приходят от Y.Y.Y.Y они как то хайдились правилом и маскировались например адресом X.X.X.X, ну т.е. главное что бы роутинг работал через туннель. Наверняка для кого-то плёвое дело, но что то я не могу сообразить. (А может и не возможно это?).
Спасибо.

Answer 1

[Ziptar]

Я, наверное, тупой, но я не очень понимаю чего Вы хотите.
У Вас X.X.X.X - внешний айпишник VPS и Вы хотите, чтобы запросы внутрь тунеля посылались от этого адреса? Это невозможно.
При этом суть проблемы неясна. Почему когда Вы подлючаетесь из сети за роутером к внешнему IP VPS - у вас ответы терминатятся на тике? У Вас запросы через роутер висят в цепочке forward, а не в input/output. Ответы тоже будут попадать в forward.
Вообще, поясните откуда вы пытаетесь подключиться к X.X.X.X.

Comments

[akelsey]

Возможно я плохой объясняльщик.
Еще раз попробую пояснить:
Если попытаться подключится к внешнему IP адресу VPS с хостовой машины 192.168.101.100 например на smtp:25:
telnet x.x.x.x 25
(допустим на VPS iptables делает dst-nat на 10.10.13.111:25 )
то для этой машин 10.10.13.111 выглядит так что пакет пришел с адреса y.y.y.y (но прошёл он через туннель openvpn с VPS) т.е. моего маршрутизатора (это его статика) - и TCP сессии не устанавливается.

Всё работает как мне нужно если запросы приходят не из-за mikrotik (из вне), основная проблема только обращение к сервисам из-за того же маршрутизатора. В целом то работать можно, как смог пояснил.

[Ziptar]

Кажется я понял что вы хотите.
Вам в этом случае не dnat нужен, а netmap. Он не только адрес назначения подменяет, но и адрес отправителя, и у вас для целевого компьютера будет высвечиваться IP туннеля на vps.
Только вот в iptables "из коробки" его по-моему нет, надо патчить.

Answer 2

[akelsey]

Сам же и отвечу, нужно было вдумчиво почитать документацию по iptables и применить src-nat, оставлю на память:

iptables -t nat -A POSTROUTING -o tun0 -s Y.Y.Y.Y -p tcp --dport 25 -j SNAT --to-source 10.1.0.1
или что универсальнее в моём случае (т.к. нужны все порты):
iptables -t nat -A POSTROUTING -o tun0 -s Y.Y.Y.Y -j SNAT --to-source 10.1.0.1

Теперь все пакеты приходящие с моего статического IP Y.Y.Y.Y в качестве источника подменяются на 10.1.0.1 (адрес интерфейса tun0) и корректно ходят по настроенным маршрутам. (Теперь маршрут отмеченный красной стрелочкой, которую можно продлить через туннель до VPS, достигает VPS, где уже из таблицы НАТ делается обратное преобразование и корректно маршрутизируется до моего host 192.168.101.100)
Само собой для всех требуемых портов нужно подменять источник.
Всем спасибо за желание помочь.
PS
Константин Антонов вам тоже спасибо, хоть netmap и не помог (т.к. у меня все же подсети разные), но это натолкнуло на правильную мысль.

Comments

[Ziptar]

Бррр. Ну раз работает - хорошо. Но не дай боже Вам по прошествии некоторого времени забыть как это работает)) Лучше зарисуйте)
А нетмап, вообще говоря, и существует для nat'инга между разными подсетями, так что он бы помог.

Answer 3

[Максим Гришин]

Зачем манглить на микротике, когда надо настраивать туннель на Х.Х.Х.Х, чтобы указать ему, что доступ к сетям 10.10.0.0/16 идет через 10.1.0.2 (ip route add 10.10.0.0/16 via 10.1.0.2)? После чего трафик из туннеля на тике натить никуда не надо (т.е. в vlan10-20 трафик должен роутиться), и хватит. Тогда машины в вланах будут видеть второй стороной 10.1.0.1, отправлять обратные пакеты на свой шлюз 10.10.х.1, а тик уже разберется, что 10.1.0.1 находится у него за туннелем и туда и запихнет ответный пакет.

Comments

[akelsey]

Машины из 10.10.0.0/16 исходящий трафик тоже должны гонять через VPS, извиняюсь не уточнил это в задаче. Т.е. mangle нужен. Задача в другом (выше другому отвечающему я отписал в комментарии уточнение).

[Максим Гришин]

akelsey, то есть 10.10.0.0/16 должны выходить в интернет через Х.Х.Х.Х, при этом микротик работает только как vpn-устройство, без ната? Тогда пишите на нем дефолтный маршрут в тоннель на 10.1.0.2, а маршрут до Х.Х.Х.Х через шлюз провайдера (который на нем сейчас шлюз по умолчанию). Тогда весь трафик в Интернет из сетей за микротиком будет завернут в тоннель, Х.Х.Х.Х она же 10.1.0.2 его будет натить, и доступ внутрь 10.10.0.0/16 пойдет через Х.Х.Х.Х а не Y.Y.Y.Y. Вроде то, что вы хотите.

[akelsey]

Максим Гришин, понимаете в чем дело, в текущий момент все работает так как мне нужно, 10.10.0.0/16 ходит через туннель, трафик с интерфейса X.X.X.X ходит тоже как нужно мне.
Вопрос только один, когда я пытаюсь достучаться с 192.168.101.100 (ну в целом вообще с любого девайса за микротиком) до X.X.X.X (т.е. к виртуальным машинам через внешний интерфейс) - тут фейл. Т.е.
telnet x.x.x.x 25 с машины 192.168.101.100 (хостовой) никогда не может установится через внешний интерфейс, т.к. подключение идет от внешнего айпи y.y.y.y

т.е. при попытке установить TCP сессию - все пакеты терминируются на микротике т.к. он имеет адрес y.y.y.y.

Я понял что вопрос не самый простой, пока я подозреваю придется воротить суровый костыль - вроде двойного ната (или оставить всё как есть).

[Максим Гришин]

akelsey, примерно понимаю, поэтому и говорю, что мангл в принципе здесь не нужен. И кстати, у вас микротик натить не должен вообще в такой конфигурации, а он у вас натит. А к ВМкам надо ходить через внутренние интерфейсы, иначе у вас полноценный hairpin, чего роутеры особо-то не любят.

[akelsey]

Максим Гришин, нет NATа для 10.10.0.0/16 на микротике нет. НАТ только на VPS (src-nat).