Problema de encaminhamento de porta Linux

tag-icon tag-icon linux routing nat port-forwarding proxmox
Problema de encaminhamento de porta Linux

não vejo mais as árvores. Qualquer sugestão é apreciada.

Tenho um servidor root e instalei o proxmox, só tenho um ip público. Fui com uma configuração roteada. Configurei algumas coisas básicas como 2FA e TLS Certificated e, em seguida, coloquei o pfsense em execução para que eu possa abrir o VPN em minha sub-rede privada e bloquear o acesso da Internet à interface da Web do proxmox.

EUnão podedescobrir o que estou perdendo, não importa o que aconteça, não consigo encaminhar a porta do meu Debian para a VM pfsense funcionando.

O encaminhamento de IP está ativado:

cat /proc/sys/net/ipv4/conf/enp35s0/forwarding
1

Eu tenho minha sub-rede privada, algumas VMs clientes lá, tudo funciona bem:

auto vmbr1
iface vmbr1 inet static
        address 10.0.0.0/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0

Interface principal principal com o endereço público:

auto enp35s0
iface enp35s0 inet static
        address 1.1.1.175/26
        gateway 1.1.1.129
        up route add -net 1.1.1.128 netmask 255.255.255.192 gw 1.1.1.129 dev enp35s0

No enp35s0 está tudo bem, tenha acesso ssh e Web UI. Aqui está a configuração que acho que está errada

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        # NAT
        post-up   iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
        # Port Forward
        post-up iptables -t nat -A PREROUTING -d 1.1.1.175 -p tcp --dport 1194 -j DNAT --to-destination 172.16.0.2:1194
        post-up iptables -A FORWARD -p tcp -d 172.16.0.2 --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
        post-up iptables -A POSTROUTING -t nat -p tcp -m tcp -s 172.16.0.2 --sport 1194 -j SNAT --to-source 1.1.1.175
        post-down iptables -t nat -D PREROUTING -i enp35s0 -p tcp --dport 1194 -j DNAT --to 172.16.0.2:1194

Então, basicamente:

<Internet> <Debian 1.1.1.175> <pfSense 172.16.0.2 / 10.0.0.1> <Cliente 10.0.0.2>

O cliente obtém seu IP do DHCP do pfSense e pode fazer ping no pfsense e acessar a internet. Suponho que isso significa que a funcionalidade básica e o roteamento no vmbr0 estão funcionando conforme o esperado.

O que não está funcionando é que não consigo acessar o servidor OpenVPN configurado no pfSense de fora. Quando eu testo com o nmap, ele apenas informa que a porta está fechada.

Alguma ideia?

EDIT1: Eu não uso o firewall PVE integrado

Conforme sugerido por Nikita, persisti as configurações seguindo o encaminhamento de IP

grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward=1

Criei um save do iptables e reiniciei o servidor para verificar se a configuração persiste. A configuração da interface agora se parece com

auto vmbr0
iface vmbr0 inet static
        address 172.16.0.1
        netmask 255.255.255.0
        bridge-ports none
        bridge-stp off
        bridge-fd 0

EDIT2: A tabela de roteamento parece boa para mim:

default via 1.1.1.129 dev enp35s0 proto kernel onlink
10.0.0.0/24 dev vmbr1 proto kernel scope link src 10.0.0.0
1.1.1.128/26 via 1.1.1.129 dev enp35s0
1.1.1.128/26 dev enp35s0 proto kernel scope link src 1.1.1.175
172.16.0.0/24 dev vmbr0 proto kernel scope link src 172.16.0.1

informação relacionada