Как пробросить порт до локальной машины подключенной к vpn?

Question

[Bega]

Ребята такой вопрос, можно ли как-то сделать подключение к удаленной машине которая подключена к VPN, но в опциях dnsmasq я отключил использование шлюза по умолчанию, чтобы весь трафик не гнать через vpn
Строка отключающая использование шлюза по умолчанию в dnsmasq.conf
dhcp-option=tap_virt,3
Порты пробросил так

iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 3389 -j DNAT --to-destination 10.10.10.10:3389

iptables -t nat -I POSTROUTING -o tap_virt -d 10.10.10.10 -p tcp --dport 3389 -j MASQUERADE

Так не работает, стоит закоментить или убрать
dhcp-option=tap_virt,3
все работает, как быть?

Comments

[Valentin Barbolin]

> dhcp-option=tap_virt,3
Что это за VPN сервер который юзает dnsmasq в качестве dhcp?

[Bega]

Andrey Barbolin, softether

[Valentin Barbolin]

Bega,
> dhcp-option=tap_virt,3
эта опция наоборот включает заставляет DHCP передавать default rote

Похоже, что маскарад не работает, возможно, что в iptables еще правило, которые выполняется раньше.

Answer 1

[Антон Теремшонок]

Могу предположить что так:

iptables -t nat -A POSTROUTING -o tap_virt -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to 10.10.10.10:3389

Первое правило не обязательно, если у вас и так уже маскарадится трафик.