Как пробросить порт до локальной машины подключенной к vpn softether?

Question

[Bega]

Ребята возникла проблема с пробросом портов до машины подключенной к vpn серверу softether.
На сервере, в самом softether server создан local brodge с привязкой к tap BridgeCreate hubname -device:virty -tap:yes
вывод ifconfig:

tap_virty: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.234.1  netmask 255.255.255.0  broadcast 192.168.234.255
        inet6 fe80::5ca2:82ff:fe4a:181a  prefixlen 64  scopeid 0x20<link>
        ether 5e:a2:82:4a:18:1a  txqueuelen 1000  (Ethernet)
        RX packets 193541  bytes 39671869 (39.6 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 206111  bytes 155683121 (155.6 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

IP раздает dnsmasq, порт форвард включен

root@hname:~# sysctl -p
net.ipv4.ip_forward = 1

клиент подключенный к vpn имеет адрес 192.168.234.15
в iptables добавил правила

iptables -t nat -A PREROUTING --dst ip ип сервера -p tcp --dport 3389 -j DNAT --to-destination 192.168.234.15:3389

iptables -I FORWARD 1 -i eth0 -o tap_virty -d 192.168.234.15 -p tcp -m tcp --dport 3389 -j ACCEPT

Что я делаю не так?

Answer 1

[Дмитрий]

Нужно еще, чтобы маршрутизация была прописана на всем пути от клиента до сервера. Может быть, сервер не знает, что трафик до клиента нужно маршрутизировать через VPN-интерфейс?

Попробуйте добавить правило

iptables -t nat -I POSTROUTING -o tap_virty -d 192.168.234.15 -p tcp --dport 3389 -j MASQUERADE

Если после этого доступ по RDP заработает, значит есть озвученная выше проблема.

И покажите счетчики срабатываний у правил FORWARD и NAT, это тоже поможет понять, что не так.

Comments

[Bega]

Да данное правило решило вопрос, вторая моя команда даже не понадобилась, спасибо!