LINUX.ORG.RU

История изменений

Исправление demsi, (текущая версия) :

Заработало! Спасибо огромное. ))) Остался один вопрос - почему оно заработало? )))))

Потому что вместо 

-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 185.60.X.X:61000
Нужно 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 10.15.0.1
Потому что у вас в сеть tun0 уходит внешний адрес 185.60.X.X, в итоге ответ от 192.168.0.3 уходит обратно не по внутренней сети, а на интерфейс eth0 VPS'ки

А вот это можно удалить 

-A POSTROUTING -d 192.168.0.0/24 -j MASQUERADE
Но можно и оставить. Просто по старому правилу, у вас критерии более жесткие, именно по порту. Наверное лучше старое и оставить. Вообще SNAT и MASQUERADE одно и тоже. Просто в SNAT нужно вручную указывать ип адрес. А MASQUERADE делает это автоматически. Поэтому можно сделать так: 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j MAQUERADE

Исправление demsi, :

Заработало! Спасибо огромное. ))) Остался один вопрос - почему оно заработало? )))))

Потому что вместо 

-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 185.60.X.X:61000
Нужно 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 10.15.0.1
Потому что у вас в сеть tun0 уходит внешний адрес 185.60.X.X, в итоге ответ от 192.168.0.3 уходит обратно не по внутренней сети, а на интерфейс eth0 VPS'ки

А вот это можно удалить 

-A POSTROUTING -d 192.168.0.0/24 -j MASQUERADE
Но можно и оставить. Просто по старому правилу, у вас критерии более жесткие, именно по порту. Наверное лучше его и оставить. Вообще SNAT и MASQUERADE одно и тоже. Просто в SNAT нужно вручную указывать ип адрес. А MASQUERADE делает это автоматически. Поэтому можно сделать так: 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j MAQUERADE
Должно отрабатывать только по порту

Исправление demsi, :

Заработало! Спасибо огромное. ))) Остался один вопрос - почему оно заработало? )))))

Потому что вместо 

-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 185.60.X.X:61000
Нужно 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 10.15.0.1
Потому что у вас в сеть tun0 уходит внешний адрес 185.60.X.X, в итоге ответ от 192.168.0.3 уходит обратно не по внутренней сети, а на интерфейс eth0 VPS'ки

А вот это можно удалить 

-A POSTROUTING -d 192.168.0.0/24 -j MASQUERADE
Но можно и оставить. Просто по старому правилу, у вас критерии более жесткие, именно по порту. Наверное лучше его и оставить. Вообще SNAT и MASQUERADE одно и тоже. Просто в SNAT нужно вручную указывать ип адрес. А MASQUERADE делает это автоматически. Поэтому можно сделать так: 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j MAQUERADE

Исходная версия demsi, :

Заработало! Спасибо огромное. ))) Остался один вопрос - почему оно заработало? )))))

Потому что вместо 

-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 185.60.X.X:61000
Нужно 
-A POSTROUTING -d 192.168.0.0/24 -p tcp -m tcp --dport 6555 -j SNAT --to-source 10.15.0.1
Потому что у вас в сеть tun0 уходит внешний адрес 185.60.X.X, в итоге ответ от 192.168.0.3 уходит обратно не по внутренней сети, а на интерфейс eth0 VPS'ки А вот это можно удалить 
-A POSTROUTING -d 192.168.0.0/24 -j MASQUERADE