Как проложить маршрут от vps к серверу в локальной сети?

Question

[n1ck]

Есть два сервера: один находиться в локальной сети с серым ip и vps с белым ip. Из-за высоких тарифов провайдера на белый ip адрес был выбран способ достучаться к домашнему серверу с помощью vps.
На vps работает openvpn server к которому подключается роутер на openwrt.

Схема:
/internet/---> XXX.XXX.XXX.XXX | VPS Ubuntu 16.04 | 10.9.8.1<--- OpenVPN ---> 10.9.8.2 | router OpenWRT | 192.168.0.1<---LAN---> 192.168.0.7 | Server

Как правильно пробросить порт от vps к серверу в локалке? Например, при подключении с интернета к VPS на 2222 порту попадать к домашнему серверу на порт 22.

P.S. При попытке подключиться через интернет из локальной сети к серверу по адресу XXX.XXX.XXX.XXX:2222 я могу попасть на сервер 192.168.0.7:22. Но из другой сети vps меня посылает.

Конфиг openvpn сервера

dev tun0
ifconfig 10.9.8.1 10.9.8.2
secret /etc/openvpn/static.key
route 192.168.0.0 255.255.255.0

Конфиг openvpn клиента

remote XXX.XXX.XXX.XXX
dev tun0
ifconfig 10.9.8.2 10.9.8.1
secret /etc/openvpn/static.key
keepalive 60 120

Answer 1

[hint000]

Вам нужно делать два проброса.
Первый с VPS до OpenWRT (например, XXX.XXX.XXX.XXX:2222 -> 10.9.8.2:2222).
Второй с OpenWRT до локального сервера (10.9.8.2:2222 -> 192.168.0.7:22).
Судя по P.S., вы это уже сделали.
Предположу, проблема в маршрутизации. OpenWRT должен иметь шлюз по-умолчанию 10.9.8.1. Проверьте, при подключении VPN весь интернет-трафик должен идти через VPN.

Comments

[n1ck]

Да, пробросы сделал, но не уверен, что правильно.

На vps:
iptables -t nat -A PREROUTING -p tcp -d XXX.XXX.XXX.XXX --dport 2222 -j DNAT --to-destination 10.9.8.2:22
iptables -t nat -A POSTROUTING -p tcp -s 10.9.8.2 --sport 22 -j SNAT --to-source XXX.XXX.XXX.XXX:2222

На роутере:
iptables -t nat -A PREROUTING -d XXX.XXX.XXX.XXX -p tcp --dport 2222 -j DNAT --to-dest 192.168.0.7:22
iptables -t nat -A POSTROUTING -d 192.168.0.7 -p tcp --dport 22 -j SNAT --to-source 10.9.8.1

Не совсем понял как назначить шлюз на роутере 10.9.8.1. При подключении к vpn 2ip показывает мой ip, а не адрес vps.

[hint000]

n1ck, ага, теперь видно ошибки. Делайте так:
На vps:
iptables -t nat -A PREROUTING -p tcp -d XXX.XXX.XXX.XXX --dport 2222 -j DNAT --to-destination 10.9.8.2:2222
iptables -t nat -A POSTROUTING -p tcp -s 10.9.8.2 --sport 2222 -j SNAT --to-source XXX.XXX.XXX.XXX:2222

На роутере:
iptables -t nat -A PREROUTING -d 10.9.8.1 -p tcp --dport 2222 -j DNAT --to-dest 192.168.0.7:22
iptables -t nat -A POSTROUTING -d 192.168.0.7 -p tcp --sport 22 -j SNAT --to-source 10.9.8.1:2222

[hint000]

n1ck, или более общий случай:
На vps:
iptables -t nat -A PREROUTING -p tcp -d XXX.XXX.XXX.XXX --dport 2222 -j DNAT --to-destination 10.9.8.2:3333
iptables -t nat -A POSTROUTING -p tcp -s 10.9.8.2 --sport 3333 -j SNAT --to-source XXX.XXX.XXX.XXX:2222

На роутере:
iptables -t nat -A PREROUTING -d 10.9.8.1 -p tcp --dport 3333 -j DNAT --to-dest 192.168.0.7:22
iptables -t nat -A POSTROUTING -d 192.168.0.7 -p tcp --sport 22 -j SNAT --to-source 10.9.8.1:3333

[Alexey Dmitriev]

n1ck, вам не надо назначать никаких шлюзов по умолчанию-если вы не хотите перенаправлять ВЕСЬ трафик. Все вопросы решаются статическими записями в таблицы маршрутизации.

[hint000]

Alexey Dmitriev, при данном варианте настройки - с использованием SNAT - действительно не надо. Минус в том, что сервер не увидит реальный адрес клиента. Если делать без SNAT, тогда нужно весь трафик через VPN.

[Alexey Dmitriev]

hint000, если делать без SNAT - тогда тоже не нужно весь трафик через VPN.
Все вопросы решаются статическими записями в таблицы маршрутизации.

[hint000]

Alexey Dmitriev,

Все вопросы решаются статическими записями в таблицы маршрутизации

Когда у клиента динамический адрес, что будете прописывать?

[Alexey Dmitriev]

hint000, о каком динамическом адресе клиента идет речь - если все, что происходит в описанной автором топика конфигурации - управляется автором - openvpn, роутер и VPS.

[hint000]

Alexey Dmitriev, внимательнее посмотрите на схему автора:

/internet/---> XXX.XXX.XXX.XXX...

То, что обозначено как "internet" - это что по-вашему?
По-моему это произвольный клиент в произвольном месте сети.
Впрочем, мне скучно продолжать этот спор ни о чём. Давайте будем считать, что вы правы.

[n1ck]

hint000, благодарю за помощь.

Answer 2

[Alexey Dmitriev]

1. Делаете SNAT на VPS

iptables -t nat -A POSTROUTING -d внешний_ip_сервера/32 -p tcp --dport 2222 -j SNAT --to-source 10.9.8.2

2. На роутере делаете что-то подобное или переадресацию портов\port forwarding внутрь. Но уже с порта 2222 на ip 192.168.0.7 и порт 22