> И скажи мне зачем мне вообще нат? если у меня впн и
> где сервера серые адреса? эзернет?
> У меня впн 192.168.137.1
> А сервера 10.5
> Смотри на впн сервере у меня внешний ип.
> Там я указываю что заворачивать пакет на 80 порт на 192.168.10.5Вот тут, на впн-сервере где внешний ип ты и делаешь нат.
Может ты думаешь, что ты делаешь заворот пакета, но ты делаешь нат.
Потому что меняется дестинейшн адрес пакета. На 192.168.10.5.
> И прописываю
> route add 192.168.10.5 gw 192.168.137.1
> Он попадает на шлюз
Всё ок.
>на шлюзе прописываю
> route add 192.168.10.5 192.168.10.1
> Хотя он и так это уже знает! даже прописывать не надо и
> пакет летит на 10.5
> Все просто маршрутизацией. Значи проброс внутрь отменяеться зачем он?
Да, всё ок. маршрут не нужен, всё маршрутизируется.
> Далее ответ идет от 10.5 на 10.1 попадет далее надо подменить его
> на 137.2 так чтоли?
Подменять не надо. В этой точке пакет содержит адреса вида:
192.168.10.5:80 -> real.ip.addr:someport
> Почему если он летит на 10.1 где работает ipfw нельзя просто так
> - же указать что бы он летел в впн? а
> впн сервер уже подменит ip на внешний и отдаст клиенту?
можно сделать. сделай.
ipfw add XXXX fwd 192.168.137.2 tcp from 192.168.10.5 80 to any out
(ipfw add XXXX fwd 192.168.137.2 tcp from 192.168.10.5 80 to any out via DEF_GW_IFACE)
где 192.168.137.2 - адрес "того конца впн-туннеля"
> ----------------
> А если брать по моей ситуации и твои обьяснениям ната у меня
> будет два?
нет нафиг, трансляции адресов достаточно одной. На рутере, где реальный айпишник.
Благодаря тому, что ты на этом самом рутере можешь задать маршрут к своей внутренней сети сквозь впн-туннель.
Если бы такой возможности не было бы, то тогда да - по факту было бы две трансляции адресов - на впн-сервере и на твоем рутере.