Eu tenho uma configuração como a do github do turnkeylinux link
Eu tenho um VPC com sub-redes públicas e privadas e uma instância NAT na sub-rede pública. Na sub-rede pública, também tenho um servidor openvpn fornecido por uma AMI turnkeylinux. Agora, tenho 2 clientes vpn que se conectam remotamente ao servidor openvpn no VPC, e esses clientes não têm nenhum problema em alcançar a sub-rede privada.
Eu gostaria, no entanto, que os hosts da sub-rede privada alcancem os clientes vpn, não a lan por trás dos clientes.
VPC: 10.1.0.0/16
Public subnet: 10.1.0.0/24
NAT: 10.1.0.2
OVPN server: 10.1.0.3
Private subnet: 10.1.1.0/24
A host on the private subnet is 10.1.1.4
Clientes VPN recebem IPs em uma sub-rede 10.1.128.0/17 .
Então eu tenho 2 clientes com IPs: 10.1.128.6 e 10.1.128.10
Agora, todos os clientes podem alcançar com sucesso 10.1.1.4 , mas 10.1.1.4 não pode alcançar o 10.1.128.6 ou 10.1.128.10
É possível que os hosts em uma sub-rede privada alcancem os clientes vpn reais?
Sim, é possível.
Tive que adicionar uma rota à tabela de rotas da sub-rede privada que rotearia o tráfego para 10.1.128.0/17 usando a instância openvpn (10.1.0.3).
Depois disso eu tive que adicionar o mascaramento de eth0 para tun0 também (no servidor ovpn). tun0 para eth0 já estava definido. Este é o comando:
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE