site to openconnect nat site

просто маршрутизацию не настроить

Всё равно вам нужно включать на своём компе маршрутизацию, разрешать эти пакеты в FORWARD и прописывать на других компах вашей сети маршрут к удалённой сети через ваш комп. А дальше, по идее, одно SNAT правило для уходящих в удалённую сеть пакетов.

На своем компе вообще проблем нет включить маршрутизацию, разрешить пакеты форвард и прописать на компах моей сети маршруты, это уже сделано. Мне не удается разобраться с SNAT. Когда устанавливаю vpn соединение, он получает маршрут 10.10.3.0 255.255.255.0 10.1.0.1 10.1.0.219 10.1.0.219 ip на впн интерфейсе vpn0 - имя впн интерфейса 10.10.3.0 - удаленная сеть к которой получаю доступ 10.1.0.1 - шлюз через который получаю доступ к сети 10.10.3.0 10.20.1.0 - моя локальная сеть

iptables -t nat -A POSTROUTING -s 10.20.1.0/24 ! -d 10.20.1.0/24 -o vpn0 -j SNAT --to-source 10.1.0.1

Вот так не пашет, может что то не доделал, может правила не применяются, так как если сделать iptables --list то там ничего не отображается нет никаких правил, кроме тех что по умолчанию разрешено всем и все. debian 8.11 jessie

маскарадинком сделал, спасибо вопрос решил.

-t nat -A POSTROUTING -s 10.20.1.0/24 -d 10.10.3.0/24 -o vpn0 -j MASQUERADE

он получает маршрут 10.10.3.0 255.255.255.0 10.1.0.1 10.1.0.219 10.1.0.219

Странный маршрут, это вывод какой команды?

-j SNAT --to-source 10.1.0.1

Ну сделали маскарадингом и хорошо, а так у SNAT нужно указывать ваш адрес на интерфейсе (10.1.0.219), а не адрес шлюза.

iptables --list

Нужно указывать таблицу (″iptables -t nat --list″).

10.1.0.219 - просто задублировалось одно, а второе там продолжение 10.1.0.219 ip на впн интерфейсе за SNAT спасибо, не знал, просто не часто настраиваю фаервол, приходится перечитывать инструкции. (вспоминать)