Estou conectando duas máquinas Debian 9 x64 com o OpenVPN:
Server
(ens3 public-ip x.x.x.222)
tun0 10.8.0.1
-> Services:
* Samba - udp137, udp138, tcp139, tcp445
* Webserver - tcp80
Client
ens33 192.168.162.157
tun0 10.8.0.6
Então eu quero encaminhar Samba e Webserver para o cliente LAN-IP 192.168.162.157 que outros clientes de rede local em 192.168.162 .x pode alcançar esses serviços.
Eu tentei definir regras NAT com iptables no cliente com todas as informações que encontrei na internet, mas não obtive sucesso:
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -i ens33 -p udp --dport 137 -j DNAT --to 10.8.0.1:137
iptables -t nat -A PREROUTING -i ens33 -p udp --dport 138 -j DNAT --to 10.8.0.1:138
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 139 -j DNAT --to 10.8.0.1:139
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 445 -j DNAT --to 10.8.0.1:445
iptables -A FORWARD -i ens33 -p udp --dport 137 -d 10.8.0.1 -j ACCEPT
iptables -A FORWARD -i ens33 -p udp --dport 138 -d 10.8.0.1 -j ACCEPT
iptables -A FORWARD -i ens33 -p tcp --dport 139 -d 10.8.0.1 -j ACCEPT
iptables -A FORWARD -i ens33 -p tcp --dport 445 -d 10.8.0.1 -j ACCEPT
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 10.8.0.1:80
iptables -A FORWARD -i ens33 -p udp --dport 80 -d 10.8.0.1 -j ACCEPT
Ambos, Webserver e Samba são alcançáveis se eu me conectar no 10.8.0.1 diretamente no cliente, mas não na LAN sobre 192.168.162.157.
Alguém pode me ajudar com o iptables? :)
Seu problema é provavelmente o caminho de volta.
O servidor sabe rotear pacotes para sua sub-rede cliente através do cliente VPN? Se não, você precisará do SNAT / masquerading (ou uma entrada de roteamento correspondente no servidor).
Então, para o seu servidor, os pacotes seriam originados de seu cliente VPN e encontrariam o caminho de volta.