Ребята, кейс: Дано: 1) openvpn сервак в локальной сети. 2) какой то

там, где то далеко linux сервер с любым дистрибутивом с внешним ip

Нужно прокинуть порты openvpn с локального сервака на сервак с внешним ip, чтобы иметь возможность подключаться к openvpn серверу из "вне".

Кто сталкивался как правильно решить этот вопрос?

Зачем что-то пробрасывать, если ты можешь буквально подключиться к виртуальной частной сети?

iptables DNAT

Такой момент, если сотрудник где то далеко, а ему нужно попасть во внутренний сегмент сети. Тачка с openvpn сервером наружу не смотрит никак. Есть где то далеко сервак на лини, который не видит эту openvpn машину, но она его видеть может

настроить на далёком серваке VPN подключаться требуемым серваком туда использовать снат/маскарад

вот это хороший вариант спс

это если на серваке с openvpn можно что-то своё ставить

Не надо никаких натов. Там буквально просто ещё один сервер добавить в сеть

Можно

Я дал задачу с конфигурацией сети, которую менять нельзя. внешний сервак -x-> опенвпн сервер но опенвпн сервер —-> внешний сервак

ЯННП Ты не можешь поднять на том втором серваке ovpn и с него цепляться к локальному серверу?

я вариант на коленке смастерил. Улучшать можно как угодно. Вроде как можно даже на SSH накостылять, но это уже думать надо

Зачем улучшать? Можно просто не ухудшать. Можно просто забивать гвозди молотком, держа его в руках, а не плоскогубцами

мож там UDP гонять надо. Хер его знает :)

банального ssh port forwarding точно не хватит?

нет, не могу

для TCP работает исправно) Но TCP не нужен

Тогда нарисуй схему сети и обоснуй, почему ты это не можешь и что ты вообще в таком случае можешь

А так - изначально поставленная задача решается так же, как и с пробросом любых других портов в любой другой конфигурации. Не важно, кто устанавливает vpn-коннект. Когда интерфейс появился и пропускает трафик, дальше не играет никакой роли, как настроен транспорт под ним (это если "дано" и мы решаем именно эту задачу, а не придумываем новый дизайн)

Ты предлагаешь сделать NAT 1:1? Окей, допустим. Юзер извне цепляется к удалённому серверу. Как удалённый сервер это будет NAT'ить на сервак в локальной сети? (я так понимаю, "в локальной сети" в данном случае подразумевается "за провайдерским NAT'ом")

Keklick
схема примерно выглядит так. Я не имею доступа к ...

Поднимаешь на "доебан сервере" OVPN @ На "OVPN local server" в конфиге пишешь, чтобы он коннектился к "доебан серверу" @ Поздравляем, у вас виртуальная частная сеть, к которой можно цепляться как через тот сервер, как и через другой

ну я так и думал что делать два сервера

Ну и нахуя тогда придумывать костыли с "пробросом портов"?

по сути не нужно)

да я уже сделал так. На внешнем поднял openvpn, сделал конфиг для внутреннего опенвпн сервера, скопировал свой конфиг для внутреннего сервера и сменил ip на ip новой локалки через openvpn . Всё прекрасно видно и всё прекрасно пингуется с внешнего сервера) 6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1600 qdisc pfifo_fast state UNKNOWN group default qlen 500 link/none inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0 valid_lft forever preferred_lft forever root@extproxy:~# ping 10.8.0.6 PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data. 64 bytes from 10.8.0.6: icmp_seq=1 ttl=64 time=3 ms 64 bytes from 10.8.0.6: icmp_seq=2 ttl=64 time=3 ms 64 bytes from 10.8.0.6: icmp_seq=3 ttl=64 time=3 ms всем спасибо за помощь