Aquí hay una sinopsis de lo que estoy tratando de lograr. Mi conexión a Internet tiene doble NAT y no tengo la capacidad de reenviar puertos o conectar el enrutador ascendente para que mi enrutador pueda aceptar conexiones entrantes. Ni siquiera puedo usar IPV6 entrante porque está bloqueado para el tráfico entrante. Esto me impide poder conectarme de forma remota a mis cámaras de seguridad, mi termostato y otros dispositivos que se encuentran en mi LAN privada.
Tengo un enrutador que ejecuta AdvancedTomato que ejecuta OpenVPN (doble NAT) y un amigo que también tiene un enrutador que ejecuta AdvancedTomato, pero su enrutador está completamente abierto a la WAN con una dirección IP pública IPV4 y está de acuerdo con que use su conexión para túnel de regreso a mi LAN. Él está de acuerdo con cualquier cosa que tenga que hacer para que funcione. Tengo mi enrutador configurado como cliente VPN y su enrutador está configurado como servidor VPN. El servidor VPN está en VLAN 10.1.0.0 y el cliente VPN está en VLAN 10.0.0.0. Su enrutador está en 10.1.0.1 y el mío en 10.0.0.1. Ambas subredes pueden comunicarse entre sí. Desde su LAN puedo iniciar sesión fácilmente en la interfaz web de mi cámara de seguridad como si estuviera sentado en casa.
Pero la parte con la que estoy luchando es que no sé cómo enrutar el tráfico WAN entrante en su enrutador en, digamos, el puerto 5000, al servidor VPN, del servidor VPN al cliente VPN y, finalmente, del cliente VPN a mi cámara cuya dirección IP es 10.0.0.2.
Adjunto mi topología toscamente dibujada a mano porque espero que la muestre mejor de lo que podría explicar.
De todos modos, imagino que implicará el uso de iptables en el servidor y en el cliente, pero no he tenido suerte con ninguno de los ejemplos que he visto.