Как завернуть трафик отправленный на прямой ip через vpn-сеть?

Question

[Антон Швец]

Дано:
openvpn-сервер ip 90.90.90.90 (_ВпнСервер) vpn сеть 10.8.8.0/24
Есть сервис по адресу 80.80.80.80 (_Сервис) подключенный к vpn с адресом 10.8.8.10
Есть клиент (_Клиент), подключенный к vpn и желающий общаться с сервером.

На vpn сервере указан NAT

iptables -t nat -A POSTROUTING -s 10.8.8.0/24 -o ens3 -j MASQUERADE

и в конфиге есть пуш маршрута до _Сервис клиентам

push "route 80.80.80.80 255.255.255.255"
client-to-client

Что происходит сейчас:
_Клиент обращается к _Сервис 80.80.80.80, его пакеты маршрутизируются в vpn-сеть, доходят до _ВпнСервер, и там отпускаются на 80.80.80.80 в общий интернет на волю.

Нужно:
Чтобы пакеты с назначением "на _Сервис 80.80.80.80" доходили до _ВпнСервер, а затем шли дальше на _Сервис не через общий интернет, а опять таки через впн-сеть, т.е. на IP 10.8.8.10, вместо 80.80.80.80.
Чтобы весь трафик до _Сервис не покидал vpn.
Прописал маршрут, не помогло.
Как это сделать?

Answer 1

[Вячеслав Рахинский]

Покажите iptables -L -n -t nat на впн сервере
Возможно есть более общее правило для NAT которое выше вашего и оно отрабатывает раньше
А с клиента покажите роутинг (точно ли там есть правило для 80.80.80.80)

Answer 2

[Дмитрий]

iptables -t nat -I PREROUTING -p all -d 80.80.80.80 -s 10.8.8.0/24 -j DNAT --to 10.8.8.10

Comments

[Вячеслав Рахинский]

-j DNAT --to 90.90.90.90 наверно

[Дмитрий]

нет, я имел ввиду, что трафик от клиента из впн до сервиса 80.80.80.80 должен отправляться в впн к сервису 10.8.8.10 .
Либо я не правильно понял вопрос.
П.С. нам бы схемку аль чертеж ..

[Вячеслав Рахинский]

В любом случаи NAT это не роутинг и здесь последовательность правил имеет значение
Лучше на них посмотреть
Я так понимаю что клиент получил route от впн сервера и должен через него достучатся до 80...
Ну и в добавок нужен tracert/traceroute 80.80.80.80 с клиента что бы убедится что трафик ушел в туннель

[Вячеслав Рахинский]

И еще надо разрешить forwarding в iptables + sysctl

[Антон Швец]

Вячеслав Рахинский, да, все так.
traceroute 80.80.80.80
Показывает
10.8.8.1
...
Внешняя сеть
...
80.80.80.80

А должно по идее
10.8.8.1
10.8.8.10

sysctl настроен. forwarding включу. Только откуда куда? Из 10.8.8.0 в 10.8.8.0?

[Вячеслав Рахинский]

-A FORWARD -s 10.8.8.0/24 ! -d 10.8.8.0/24 -j ACCEPT
-A FORWARD -d 10.8.8.0/24 ! -s 10.8.8.0/24 -j ACCEPT

route (или route print) с клиента покажите