можно было при установке допустим apache на локалке зайти на IP от VPS

ЯННП, тебе надо спрятать локальный апач, чтоб из интернетов на него ходили через VPS?

Пробовал через openvpn подключался успешно, IP менялся, но вот все равно IP не работал, по SSH соответственно подрубиться не мог

А тут вообще ЯННП, каша какая-то... Объяни что хочешь в итоге.

Вообщем мне нужно, чтобы у меня использовался на локальном серваке IP от VPS

Ты говоришь openvpn настраивал. Вот. Поднималась виртуальная приватная шифрованная сеть между локальным компом и впс, траффик шел «обернутый в туннель». Все снаружи тебя видели как IP впс-ки. На обоих сторонах создавались два виртуальных сетевых интерфейса с внутренними IP, которые принадлежат виртуальной сети.

И ssh у тебя при включенном openvpn станет работать только по внутреннему адресу приватной сети.

Так что я не понимаю что у тебя не так, все норм должно быть.

Смотри, вопрос такой, как мне настроить локальный сервак, чтобы все, что на нем настроено, переходило автоматом на IP от VPS

Простой конфиг для опенвпн так и делает, траффик весь заворачивается. Наоборот сложнее намного настроить чтоб часть траффика шла на впс, а часть напрямую — но тебе это не надо, так даже в голову не бери.

Физически у тебя останется твой реальный IP, но о нем будут знать только ты и твой провайдер — и тут не обойдешь, это «физика». А вот весь внешний мир будет думать что ты впс-ка с ее IP.

Тут нюанс который ты и упустил в стартовом посте: у тебя и у вск-ки при работе по туннелю будет пара «виртуальных» IP. Вот они чисто технические и выпоняют просто «края туннеля», ведь ты перестаешь использовать свой реальный адрес для коннекта с конечными сервисами (сайты интернет, например).

Так что посоветуешь дальше сделать? Все же на другом ip не работает ничего, что на локальном, что нужно дальше мне делать

Это ты знаешь что «не работает», а по правде работает для внешней сторооны. Но ты и админ, тебе знать положено. А источником, «шлюзом» в мир при опенвпн служит впс и ни кто не знает где твой локальный сервер, вообще не знают что есть какой то локальный сервер, все видят вску и всё, не дальше.

parger, я отредактировал последний ответ, так понятно?

Хочешь я тебе завтра в гимпе нарисую как работает опенвпн — любой поймёт, а щас спать пошёл я...

Не, ты не понял, чувак походу захотэл, чтобы у него в локальной сети был внешний ipшник его сервачка)))

Если я понял тебя правильно, ты хочешь поднять туннель между своим компом и VPS и настроить на VPS DNAT. Так?

Я понял :). Я сам в «концепцию туннелирования» траффика тяжело врубился в своё время, правда мне простительно было — у меня комп был, но не было ни модема, ни локалки тогда, чисто локальный одинокий комп посреди квартиры (начало нулевых).

На VPSке настрой forwarding через iptables/nftables с внешнего интерфейса на туннель.
Для этого допиши в /etc/sysctl.conf строку net.ipv4.ip_forward = 1.
Если используешь nftables, можешь взять за основу мой конфиг, он делает почти то же, что ты просишь, нужно лишь выкинуть ненужное и добавить нужное. Хотя, теоретически, достаточно изменить только блок с define.
SSH тебе, вероятнее всего, нужен и на сервере и на VPSке, поэтому его порт пробрасывать не надо, но нужно открыть. В конфиге выше это есть.
ssh -J vps_user@vps_host:port server_user@server_host что бы подключиться к серверу, ssh vps_user@vps_host:port.

Давайте с самого начала, подскажите, что мне сделать вот с самого начала есть чистый VPS и чистый локальный сервер, допустим поставлю на VPS openvpn, подключаюсь к VPS с локалки, всё, что и какие мне действия производить дальше

хех, мало поставить опенвпн, надо настроить, мануалов полно.

Настраиваешь на впс-ке опенвпн-сервер и запускаешь его на впс, всё, впс не трогаешь пока, и ни когда опенвпн-сервер на впс не выключаешь ни когда вообще.

Потом настраиваешь впн-клиент на локальном компе и подключаешься к серверу. И вот тут твой трафик начинает ходить через впс, проверить можно на internet.ya.ru какой IP адрес.

Когда тебе надо ходить не через впс, а напрямую (как обычно, как щас ходишь) то на локальном компе останавливаешь впн-клиент.

И чтоб подключиться при включенном впн-клиенте на впску надо использовать внутренний виртуальный IP (который висит на сетевом интерфейсе tun впски).

Можешь мануал скинуть пожалуйста?

На VPS тоже debian?

Вот не плохой https://codebeer.ru/nastrojka-openvpn-v-debian/

Вообщем настроил локальную машину и VPS. Теперь на локальной машине IP от VPS, а как мне теперь допустим подключаться или как мне допустим дальше работать с этим? Допустим захочу разместить apache, как мне сделать чтобы устанавливал с локалки, а появился на IP от VPS

по идее должно так сработать

Пробросить порты на VPS с реального IP-адреса на IP-адрес OpenVPN-server VPS-ки (который на сетевом интерфей tun на VPS-ке). Пусть порты у тебя 80 и 443. Команды выполняешь естественно на VPS.

sudo iptables -A FORWARD -i eth0 -o tun0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT

sudo iptables -A FORWARD -i eth0 -o tun0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sudo iptables -P FORWARD DROP

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.8.0.1
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 10.8.0.1

sudo iptables -t nat -A POSTROUTING -o tun0 -p tcp --dport 80 -d 10.8.0.1 -j SNAT --to-source 192.168.1.1
sudo iptables -t nat -A POSTROUTING -o tun0 -p tcp --dport 443 -d 10.8.0.1 -j SNAT --to-source 192.168.1.1

sudo service iptables-persistent save

В командах имена интерфейсов и IP-адреса указаны для примера, где:

tun0 — сетевой интерфейс OpenVPN-server, скорее всего совпадает
eth0 — сетевой интерфейс VPS-ки
192.168.1.1 — IP-адрес VPS-ки реальный
10.8.0.1 — IP-адрес интерфейса tun0 на vps-ке

Хотя если вся задача стоит показать не весь локальный сервер в интернет, а лишь апач — можно сделать было проще. Но ты сначала просил весь локальный сервер )))

Настроил, но все равно не работает

да и не факт что должно заработать было, уж извини

Тебе только апач надо в интернет пробросить, или принципиально весь сервер?

И извини за не скромный вопрос, а почему тот же апач не сунуть на впс-ку? Такие страшно секретные сайты?

Да я хотел весь сервак пробросить

Хм, пока идей нет. Хотя вот те мои правила могут быть и лажовые, сетевик из меня так себе.

Может тебе лучше создать новую тему, но с более внятным вопросом. Сформулирую твой вопрос примерно:

Нужно предоставить полный сетевой доступ из интернета к локальному серверу, который за NAT провайдера, статического белого IP нет. Есть VPS, уже настроен OpenVPN. Как лучше сделать?

Вот примерно так.

Говорят тут мне знающие люди, что должно работать. Проверь адреса, имена сетевых интерфейсов чтоб были как у тебя. Прям по истории команд можешь проверять (стрелочка вверх в ssh).

мне очень кажется, что ты его плохо понимаешь. хотя, мне кажется, что и я его тоже плохо понимаю, но думаю лучше чем ты. он хочет, чтоб все сервисы поднятые на его локальном серве - виделись на белом айпи. всегото.

а тут мне кажется, нужно - все что пришло на любой порт - пробрасывается на тот же порт локального серва. и ненада городить 100800 правил.

Я это понял тоже, мне просто стало интересно удалить гланды через анус.

Можно конечно решать задачи проброса по отдельности: вебсервер, ссш и т.д. а настроенный впн не помешает, пусть будет.

ну вот зачем... зачем ты придумываешь задачу, если

Вообщем мне нужно, чтобы у меня использовался на локальном серваке IP от VPS

он же ясно сказал, хочу вот так. нет же, ты зачемто перекраиваешь задачу, потому что - так правильнее, так лучше, так надо. епт, да нучитесь вы четко отвечать на поставленный вопрос, без своих придумываний. просит чел - как выстрелить в ногу - вот так, берем, направляем дуло в ногу, нажимаем курок. оно вам нада - объяснять, что без ноги туго будет, что это ранение, что это неправильно... есть вопрос - есть ответ. без придумываний.

зачемто перекраиваешь задачу, потому что - так правильнее, так лучше, так надо. епт,

Мы ж на ЛОРе )

и ненада городить 100800 правил.

А тут я начал решать конкретную задачу про только апач :D

Мы ж на ЛОРе )

ну, это конечно без всякого порно. но это все молодо, зелено. повзрослев - проще просто ответить на вопрос. если знаешь ответ. плевать - вопрос об том как себе в ногу выстрелить, как себе голову отрезать или апач установить. четко, по делу или ваще ну его нафиг. будем подразумевать, что спрашивающий знает что он хочет. а даже если и не знает - пусть пару раз ногу прострелит. он сам спросил? сам. никто его не заставлял.

кстати, еще вот вопрос, про - мы ж на ЛОРе. ты когда заходишь в туалет (руки чтоб помыть) палюбасику сразу срать садишься? бо - ты ж в туалете? или порнхаб случайно открылся - нада подрачить, мы ж на порнхабе? что за стереотипы...

Ну, ну, разошелся... Вот это можно понять двояко:

как можно сделать чтобы локальный сервер подключался к IP от VPS

Потом ТС сказал про апач, потом про опенвпн. Ну вот так я его понял кривовато. Правильно ты говоришь, не фиг умничать было, согласен.

это ведь самый кайф - ответить вопрошающему и услышать потом его вопли - ааааааааааааааа нафига вы мне ответили. а спрашивал нафига? ;)

Посоветуйте как реализрвать то все же, перепроверил, все равно не помогает

iptables всечтоприходитна внешнийIP forward внутреннийIP

Тогда пока не юзая опенвпн (не трогай его, пригодится потом, просто на локальном выключи) создай новую тему про апач для начала.

апач надо в интернет пробросить
а почему тот же апач не сунуть на впс-ку?

Подозреваю, что ему надо просто dyndns и весь огород строится вокруг динамического айпишника локального сервера.

P.S. Поражаюсь твоему терпению.