Ich verbinde zwei Debian 9 x64-Maschinen mit OpenVPN:
Server
(ens3 public-ip x.x.x.222)
tun0 10.8.0.1
-> Services:
* Samba - udp137, udp138, tcp139, tcp445
* Webserver - tcp80
Client
ens33 192.168.162.157
tun0 10.8.0.6
Also möchte ichnach vorneSamba und WebserverZudie Client-LAN-IP192.168.162.157dass andere LAN-Clients im Bereich 192.168.162.x diese Dienste erreichen können.
Ich habe versucht, mit iptables auf dem Client NAT-Regeln zu definieren und dabei alle Informationen verwendet, die ich im Internet gefunden habe, aber es hat nicht geklappt:
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -i ens33 -p udp --dport 137 -j DNAT --to 10.8.0.1:137
iptables -t nat -A PREROUTING -i ens33 -p udp --dport 138 -j DNAT --to 10.8.0.1:138
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 139 -j DNAT --to 10.8.0.1:139
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 445 -j DNAT --to 10.8.0.1:445
iptables -A FORWARD -i ens33 -p udp --dport 137 -d 10.8.0.1 -j ACCEPT
iptables -A FORWARD -i ens33 -p udp --dport 138 -d 10.8.0.1 -j ACCEPT
iptables -A FORWARD -i ens33 -p tcp --dport 139 -d 10.8.0.1 -j ACCEPT
iptables -A FORWARD -i ens33 -p tcp --dport 445 -d 10.8.0.1 -j ACCEPT
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 10.8.0.1:80
iptables -A FORWARD -i ens33 -p udp --dport 80 -d 10.8.0.1 -j ACCEPT
Sowohl Webserver als auch Samba sind erreichbar wenn ich mich über 10.8.0.1 direkt auf dem Client verbinde, jedoch nicht im LAN über 192.168.162.157.
Kann mir jemand mit den iptables helfen? :)
Antwort1
Dein Problem ist vermutlich der Rückweg.
Weiß der Server, dass er Pakete über den VPN-Client an Ihr Client-Subnetz weiterleiten muss? Falls nicht, benötigen Sie zusätzlich SNAT/Masquerading (oder einen entsprechenden Routing-Eintrag auf dem Server).
Für Ihren Server würden die Pakete dann von Ihrem VPN-Client stammen und ihren Weg zurück finden.