Как перенаправить трафик 80/443 с интерфейса eth0 на ip адрес openvpn клиента?

Question

[Ilshatms]

Всем приветы!

Пытаюсь настроить доступ к домашнему серверу из внешки с учетом серой статики от провайдера интернет.
Исходные данные (см. приложенную схемку под спойлером):

spoiler

• инстанс в amazon aws с настроенным openvpn сервером на ОС ubuntu 16.04
  
• домашний роутер с openvpn клиентом и настроенной переадресацией портов на нужный сервер
  
• сам сервер подключенный в домашнюю сеть
  

Как решал задачу:

• открыл доступ к нужным портам в фаерволе aws с доверительных подсетей интернет
  
• открыл порты в ufw на amazon aws
  
• настроил переадресацию на домашнем роутере до нужного локального сервера
  
• внес согласно гайдам из открытых источников настройки на серверe amazon aws в части перенаправления трафика с eth0 на ip openvpn клиента роутера:
  

etc/ufw/before.rules

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0] 
-A PREROUTING -i eth0 -d 18.146.x.x -p tcp --dport 80 -j DNAT --to-destination 10.8.0.4:80
-A PREROUTING -i eth0 -d 18.146.x.x -p tcp --dport 443 -j DNAT --to-destination 10.8.0.4:443
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT

/etc/sysctl.conf

net.ipv4.ip_forward= 1

В итоге схема все равно не работает. Вопрос знатокам, что я упустил и как в итоге решить поставленный вопрос?

Comments

[Сергей]

Смысл проброса?
Вы при коннекте второго устройства уже находитесь в локальной сети 10.8.0.0, если на амазоне, просто коннектитесь напрямую к 10.8.0.4 и все.

Если Вы не хотите подключаться вторым устройством к vpn, сделайте трассировку маршрута до сервера. и на стороне сервера можно включить захват пакетов (варя шарк или tcpdump)

[Ilshatms]

Сергей, схема с подключением к openvpn с последующим коннектом к адресу 10.8.0.4 уже работает. Мне же нужно другое - я хочу попадать в домашнюю сеть без поднятия vpn соединения. Для этого и требуется правильное перенаправление трафика 80/443 с интерфейса eth0 амазона на ip адрес openvpn клиента как я постарался обрисовать в простейшей схемке под спойлером.

spoiler

Answer 1

[Алексей Корсунов]

А на домашнем роутере кроме перенаправления ИЗ туннеля, ВНУТРЬ туннеля такой же NAT сделан?

И какой вообще смысл делать два раза переадресацию (проброс), когда можно сразу на AWS прописать прямой маршрут до сервера за туннелем и на домашнем роутере никаких пробросов не делать?

Comments

[Ilshatms]

Нет, там подсеть 192.168.0.1/24 (см. скрин под спойлером настройки на самом роутере).

spoiler

И какой вообще смысл делать два раза переадресацию (проброс), когда можно сразу на AWS прописать прямой маршрут до сервера за туннелем и на домашнем роутере никаких пробросов не делать?

В принципе можно и прямой маршрут без лишних подсетей, но для этого в любом случае нужно для начала настроить правильное перенаправление трафика на ubuntu 16.04 через правила ufw.

-A PREROUTING -i eth0 -d 18.146.x.x -p tcp --dport 80 -j DNAT --to-destination 10.8.0.4:80

на 10.8.0.4:80 - веб интерфейс роутера. Он все равно недоступен с теми настройками, которые я изложил в теме вопроса, хотя если поднимать vpn соединение машина доступна + с самого сервака amazon пинги до ip 10.8.0.4 проходят.