Как получить доступ к сервисам в Docker контейнерах из другой сети по VPN?

Question

[Олег]

Есть локальная сеть дома с сервером и роутером на Openwrt. Есть внешний vps-сервер со статическим IP. На VPS установил и настроил Softether VPN Server. Дома установил Softether VPN Bridge и объединил с vpn сервером через Bridge Layer 3. То есть дома у меня подсеть 192.168.0.0/24, клиенты на vps имеют подсеть 192.168.1.0/24. Клиенты vps выходят в интернет через внешний интерфейс vps (статический ip), клиенты домашней локальной сети - через интернет провайдера (динамический ip, получаемый по dhcp от провайдера). Маршруты проброшены, на vps настроен iptables, сети друг друга видят и пингуют. Подключившись, например с телефона, к vpn-серверу, я могу зайти на smb-шары, web-морды webmin'a, openmediavault'а, роутера в домашней сети. Казалось бы всё хорошо, но... На домашнем сервере развернул сервисы через docker-контейнеры (модно, да :)), такие как qbittorent, nextcloud и т.п. и вот к ним доступа нет. Т.е. с устройств локальной сети я без проблем к ним имею доступ по ip_server:port_service и даже могу пропинговать ip контейнером (172.19.0.X, 172.21.0.X и т.п.), а вот с подключенного по vpn телефона - нет.
Единственно, как удалось подключиться, это пробросить порт на роутере (в openwrt), тогда получается заходить по ip-роутера (192.168.0.1:port_service), что не есть удобно, но хотя бы работает.
Не силен в системном администрировании и iptables, поэтому пока не удается организовать NATтинг таким образом, чтобы клиенты vpn являлись полноправными членами локальной сети.
В каком направлении в данном случае вообще двигаться?

Comments

[Олег]

В телефоне разумеется они не прописаны, и как бы хотелось бы этого избежать. Маршруты прописаны на vps-сервере (заворачивает трафик с 1.0/24 на 0.0/24 через шлюз 1.250) и роутере в локальной сети (соответственно, наоборот, с 0.0/24 на 1.0/24 через шлюз 0.250). С этими докер-контейнерами вообще как-то хитро, как я понял. По идее с контейнера проброшена сеть в хост-систему (бридж, хост и ещё пару типов). Т.е. у меня в локальной сети на докер-сервисы я захожу по ip хост системы, т.е. например 192.168.0.1:8088. При этом сеть докера имеет интерфейс типа бридж 172.19.0.0/24 с шлюзом 172.19.0.1 и этот сервис висит на ip 172.19.0.2. Телефон у меня получается приходит в локальную сеть через vnp-мост на шлюз 192.168.0.250. Интерфейс моста (tap_vpn) объединён с интерфейсом сервера (enp2s0) в мост br0, который получает ip от роутера по dhcp. И вот картинка как-то не складывается у меня до конца в голове

[Вадим]

А может установить mcvlan driver для докер контейнеров и дать и Айпишники из этой же подсети? Должно быть тогда все видно !

[Олег]

Мне кажется тут дело немного в другом. Тут правила docker как-то вмешиваются. Хотя с учётом того, что пишут, что docker-контейнеры доступны всем и вся, и чтобы это как-то ограничить - нужно поизголяться, но не в этом случае. По сути в локальную систему 192.168.0.0/24 я c мобильного телефона по vpn каналу прихожу с адресом 192.168.1.60. При этом все сервисы, которые не касаются докер-контейнеров мне доступны. Даже дополнительно проверил: поставил transmission и ограничил доступ только с подсети 0.1/24 - всё, телефон к нему недоступен, добавил подсеть 1.0/24 - доступен. В докере же смотрю ограничений с доступом - никаких, разрешено всех отовсюду. Однако по факту получается не так. Пока в тупике...

Единственно, что получилось, это проброс порта через шлюз, но меня не устраивает (во всяком случае пока) заходить на ресурс с телефона по ip: 192.168.0.1:8080, а не 192.168.0.50:8080, как в локальной сети