Вообще-то между клиентом ВПН и сервером ВПН маршрутизатор не 1, а штук 10-20 (traceroute).

Если сервер виден в инете то пофиг сколько у тебя маршрутизаторов с натом между клиентом и сервером

проблем вообще говоря никаких быть не должно, но могут быть нюансы — зависит от типа используемого VPN. Если это PPTP например, то могут быть проблемы потому что он использует «нестандартный» IP-протокол GRE. Если openvpn или cisco-vpn то проблем точно не будет — там только «стандартный» TCP, который любой NAT пропускает.

То есть ваш вопрос, как сделать SNAT для VPN? Какой VPN используется?

лишь бы на Linux RedHat9 (iptables, NAT) был включен GRE

iptables -A FORWARD -p 47 -j ACCEPT

Тип используемого VPN - PPTP

Тип используемого VPN - PPTP

Тип используемого VPN - PPTP

Тип используемого VPN - PPTP

Есть в iptables -A FORWARD -p 47 -j ACCEPT. Но все по прежнему. Может ядро устарело

В принципе, если вам нужно установить через SNAT на линуксе соедиение на VPN-сервер только от одного клиента, то будет работать обычный SNAT, который давно в ядре. Только нужно проверить, что есть SNAT для протокола 47 (GRE) и 1723 порта протокола tcp.

Потом запускаете на исходящем интерфейсе tcpdump с нужными опциями, допустим

tcpdump -i ethX -n -nn host XXX.XXX.XXX.XXX and \( port 1723 or proto 47 \)

где ethX это внешний интерфейс, XXX.XXX.XXX.XXX --- ip-адрес VPN-сервера.

Сначала с сервером должен быть обмен tcp, 1723 и потом GRE-пакеты. Возможен вариант, что где-то по дороге перекрыт GRE и тогда ответов от сервера не будет.

SNAT,

В меня в rc_local запускается modprobe ip_conntrack_ftp modprobe ip_gre В iptables прописаны: iptables -t nat -A PREROUTING -p gre -s 192.168.101.3 -d 212.111.205.78 -j DNAT --to-destination 192.168.101.3 iptables -t nat -A PREROUTING -p tcp --dport 1723 -s 192.168.101.3 -d 212.111.205.78 -j DNAT --to-destination 192.168.101.3 iptables -t nat -A PREROUTING -p tcp --dport 1723 -d 212.111.205.78 -j DNAT --to-destination 192.168.101.3 iptables -t nat -A PREROUTING -p gre -d 212.111.205.78 -j DNAT --to-destination 192.168.101.3 где 192.168.101.3 клиент VPN в моей ЛВС 212.111.205.78 -VPN - сервер.

Я начинающий потому подскажите как проверить, что есть SNAT для протокола 47 (GRE) и 1723 порта протокола tcp.

Посмотрте на свой пост. На этом форуме, при наборе сообщения внизу есть выпадающее меню, там нужно выбирать, либо «Preformated text» и ставить переносы строк где нужно, либо LORCODE и там ставить правила iptables в обрамлении [code][/code] (см. местную вики). Перед отправкой пользуйтес кнопочкой предпросмотр.

Теперь о правилах iptables.

iptables -t nat -A PREROUTING -p gre -s 192.168.101.3 -d 212.111.205.78 -j DNAT --to-destination 192.168.101.3

это вобще бредятина. В переводе на обычный язык это правило означает, что все запросы клиента на подсоединение к серверу нужно вернуть этому же клиенту. Вам нужен SNAT, правило такое:

iptables -t nat -A POSTROUTING -s 192.168.101.3 -d 212.111.205.78 -j XX.YY.ZZ.AA

вместо XX.YY.ZZ.AA подставляете ip-адрес внешнего интерйеса. А все приведённые в вашем посте правила с DNAT уберите, они всё испортят.

подскажите как проверить

Как я уже постил, запустите tcpdump или wireshark и в момент установления соединения смотрите, уходят ли с внешнего интерфейса ip-пакеты, причём их адреса это 212.111.205.78 и XX.YY.ZZ.AA.