OpenVPN, внешний доступ к серверу филиала

pigbrother

Тоже интересно.
В свое время стояла такая же задача.
Не работает оно потому, что ВЕБ-сервер, получив извне запрос c внешнего IP через проброшенный порт отправляет ответ в свой шлюз по умолчанию, а не в туннель OpenVPN.
Задача так и осталась нерешенной, т.к. необходимость в ней отпала.
Напрашивается  решение с использованием NAT, IMHO.

Semen

Спасибо за ответ. А можно подробнее про решение через NAT?

pigbrother

@Semen:

Спасибо за ответ. А можно подробнее про решение через NAT?

Это не решение, это мысли вслух, решения у меня нет. Смысл - транслировать входящий IP в IP OVPN, чтобы ВЕБ-сервер знал, куда отвечать.

Вот короткое обсуждение без решения на serverfault
https://serverfault.com/questions/458405/how-can-i-port-forward-over-a-vpn-nat

Semen

@pigbrother:

@Semen:

Спасибо за ответ. А можно подробнее про решение через NAT?

Это не решение, это мысли вслух, решения у меня нет. Смысл - транслировать входящий IP в IP OVPN, чтобы ВЕБ-сервер знал, куда отвечать.

Вот короткое обсуждение без решения на serverfault
https://serverfault.com/questions/458405/how-can-i-port-forward-over-a-vpn-nat

Еще раз спасибо).

werter

Доброе.
proxy arp пробовали ?

pigbrother

proxy arp пробовали ?

IMHO, с tun между точками это врядли актуально.

werter

https://forum.pfsense.org/index.php?topic=82732.0

Semen

@werter:

https://forum.pfsense.org/index.php?topic=82732.0

Спасибо, буду разбираться.

pigbrother

Ув. werter спасибо за ссылку.
Спасибо, буду разбираться.
Да, там есть в чем разбираться, автор создал явно избыточный тестовый стенд.  Если не трудно - отпишитесь о результате.

werter

Доброго.
Возвращаясь к теме.

А что если:

Объявить впн-интерфейс явно.
При создании правила проброса порта Firewall / NAT / Port Forward / Edit  где Filter rule association выбрать none.
Руками создать правило fw на WAN для пробрасываемого порта, где в Gateway явно указать впн-интерфейс, а в Destination указать адрес и порт сервера в удаленной сети.
Возможно, прийдется руками добавить еще и правило в Firewall / NAT / Outbound для впн-интерфейса.

Semen

@pigbrother:

Ув. werter спасибо за ссылку.
Спасибо, буду разбираться.
Да, там есть в чем разбираться, автор создал явно избыточный тестовый стенд.  Если не трудно - отпишитесь о результате.

Всем доброго.

В общем, задача несколько изменилась, нужный результат получен через направление трафика филиала через головной офис.