Problema de reenvío de puertos de Linux

tag-icon tag-icon linux routing nat port-forwarding proxmox
Problema de reenvío de puertos de Linux

Ya no veo los árboles. Se agradece cualquier sugerencia.

Tengo un servidor raíz e instalé proxmox, solo tengo una IP pública. Fui con una configuración enrutada. Configuré algunas cosas básicas como 2FA y TLS Certified y luego ejecuté pfsense para poder abrir vpn en mi subred privada y bloquear el acceso desde Internet a la interfaz de usuario web de proxmox.

Ino poderdescubro lo que me falta, pase lo que pase, parece que no puedo hacer que el puerto avance desde mi Debian a la máquina virtual pfsense.

El reenvío de IP está habilitado:

cat /proc/sys/net/ipv4/conf/enp35s0/forwarding
1

Tengo mi subred privada, algunas máquinas virtuales cliente allí, todo funciona bien:

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.0/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

Principal interfaz principal con la dirección pública:

auto enp35s0
iface enp35s0 inet static
        address 1.1.1.175/26
        gateway 1.1.1.129
        up route add -net 1.1.1.128 netmask 255.255.255.192 gw 1.1.1.129 dev enp35s0

En enp35s0 todo está bien, tiene acceso ssh y interfaz de usuario web. Aquí está la configuración que supongo que de alguna manera es incorrecta.

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        # NAT
        post-up   iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        # Port Forward
        post-up iptables -t nat -A PREROUTING -d 1.1.1.175 -p tcp --dport 1194 -j DNAT --to-destination 172.16.0.2:1194
        post-up iptables -A FORWARD -p tcp -d 172.16.0.2 --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        post-up iptables -A POSTROUTING -t nat -p tcp -m tcp -s 172.16.0.2 --sport 1194 -j SNAT --to-source 1.1.1.175
        post-down iptables -t nat -D PREROUTING -i enp35s0 -p tcp --dport 1194 -j DNAT --to 172.16.0.2:1194

Así que básicamente:

<Internet> <Debian 1.1.1.175> <pfSense 172.16.0.2 / 10.0.0.1> <Cliente 10.0.0.2>

El Cliente obtiene su IP del DHCP de pfSense y puede hacer ping a pfsense y acceder a Internet. Supongo que esto significa que la funcionalidad básica y el enrutamiento en vmbr0 funcionan como se esperaba.

Lo que no funciona es que no puedo acceder al servidor OpenVPN configurado en pfSense desde el exterior. Cuando lo pruebo con nmap solo informa que el puerto está cerrado.

¿Algunas ideas?

EDITAR 1: no uso el firewall PVE incorporado

Según lo sugerido por Nikita, persistí en las configuraciones siguiendo la IP hacia adelante

grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward=1

Creé un guardado de iptables y reinicié el servidor para verificar si la configuración persiste. La configuración de la interfaz ahora se ve así

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0

EDITAR2: La tabla de enrutamiento me parece bien:

default via 1.1.1.129 dev enp35s0 proto kernel onlink
10.0.0.0/24 dev vmbr1 proto kernel scope link src 10.0.0.0
1.1.1.128/26 via 1.1.1.129 dev enp35s0
1.1.1.128/26 dev enp35s0 proto kernel scope link src 1.1.1.175
172.16.0.0/24 dev vmbr0 proto kernel scope link src 172.16.0.1

información relacionada