расширенная настройка openvpn - подмена или snat/dnat или даже проксируют

Где "1.1.1.1" OpenVPN-присвоенный адрес клиента и, "9.9.9.9" общедоступный IP-адрес к SNAT трафик клиента к/от:

iptables -t nat -A POSTROUTING -s 1.1.1.1 -j SNAT --to-source 9.9.9.9

Это делает то, что Вы хотите на моем тестовом поле здесь. Очевидно, Вам будет нужна установка OpenVPN с клиентскими конфигурационными файлами, чтобы скупо выдать тот же IP-адрес данному клиенту, когда они соединятся, но это кажется, что у Вас уже есть это.

Если у Вас уже не будет записи в Вашем ВПЕРЕД цепочкой для разрешения трафика от клиентов через, то Вы захотите добавить правило там, также. Вы могли сделать что-то вроде этого, если Вы хотите вслепую передать трафик, полученный в туннельном интерфейсе, направляющемся в Интернет:

iptables -A FORWARD -i tun+ -o internet-interface -j ACCEPT

Наконец, если Вы захотите направить незапрашиваемые попытки входящего соединения для общедоступных IP-адресов клиентов клиентам, то Вы захотите сделать это на цепочке PREROUTING в туземной таблице с чем-то как:

iptables -t nat -I PREROUTING -d 9.9.9.9 -j DNAT --to-dest 1.1.1.1

Можно использовать файл ipp.txt на openvpn сервере, таким образом, он присваивает только IP, который Вы хотите каждому клиенту. На значении по умолчанию ipp.txt сохраняется openvpn сервером, но можно изменить это так, Вы поддерживаете его с помощью следующей строки в файле конфигурации сервера (openvpn, не будет больше обновлять ipp.txt):

ifconfig-pool-persist /path/to/ipp.txt 0 на конфигурации сервера (просто добавляющий 0 в конце строки по умолчанию).

Файл находится в форме host,ip.

Спасибо за быстрый ответ, Evan. Однако SNAT-луг и DNAT-луг не являются проблемой здесь. Позвольте мне заставить реальный пример показывать Вам точно, что я хочу:

У нас есть два клиента, каждый с уникальным общедоступным IP: client1: 219.16.233.140 и client2: 143.12.155.19. Сервер имеет IP-адреса: 213.230.161.1 - 213.230.161.31. В первую очередь, я хочу присвоить каждому из клиентов один (и только один!!!) общедоступный IP-адрес с моего сервера, IP-адрес они будут использовать для маскирования себя в Интернете.

client1 (219.16.233.140)---> 213.230.161.10 client2 (143.12.155.19)---> 213.230.161.11

Мы устанавливаем OpenVPN с наименьшим количеством возможной конфигурации: статический ключ совместно использовал среди всех клиентов:

Конфигурационный файл сервера dev сервер бочки 10.8.0.0 255.255.255.0 секретных конфигурационных файлов static.key Client1 удаленные 213.230.161.10 dev бочки ifconfig 10.8.0.2 10.8.0.1 секретных конфигурационных файла static.key Client2 удаленные 213.230.161.11 dev бочки ifconfig 10.8.0.3 10.8.0.1 секрета static.key

Я могу, конечно, ограничить Client1 для соединения только с 213.230.161.10 и Client2 для соединения только с 213.230.161.11, но как я препятствую тому, чтобы они переключили туннельный IP? Я имею в виду, client1 может легко изменить .ovpn файл так, чтобы это Саис: ifconfig 10.8.0.3 10.8.0.1, таким образом вмешиваясь в client2. Это представит бесполезные правила SNAT-DNAT. Это - моя дилемма, как я связываю общедоступный IP клиента с туннельным IP, замеченным на стороне сервера (к 219.16.233.140, только эти 10.8.0.2 адреса могут использоваться внутренне в ovpn интерфейсе бочки, и 219.16.233.140 может соединиться только с 213.230.161.10).

Спасибо, R.C.