Dotaz: Dostupnost služby www za modemem LTE

Dobrý den obracím se na Vás s prosbou pomoc. Předně musím podotknout, že nejsem znalý v oboru, pouze mám z netu a různých fór obecné povědomí. Bez hlubších znalostí jednotlivých oblastí mě unikají souvislosti. Prosím o nějaký "polopatický" návod.

Předmět zájmu. Chci postavit vlastní VPN síť pro spojení dvou PC. PC_1 má veřejnou dynamickou IP 1.2.3.4 . PC_2 LTE modem. Představuji si dostupnost PC_2 z Internetu na kterém je WWWW server, voláním mé veřejné adresy PC_1 a protunelováním do PC_2. Doposud jsem používal VPN třetí strany NGROK.

Zatím mám nainstalované OpenVPN server a klient, PING prochází z PC_1 server na PC_2 klient a opačně. Z PC_2 při spuštěném VPN má dosah na veřejný Internet. Nevím jak docílit "předání" brány lokání sítě 192.168.0.1 VPN serveru, aby bylo možno se z Internetu dostat na PC_2 v tunelu. Na PC_1 serveru je zapnuto předávání net.ipv4.ip_forward = 1. PC_1 a 2 v iptables momentálně všechny tabulky (filter, nat, mangle) ACCEPT.

PC_1 debian, server OpenVPN v lokalni síti 192.168.0.0/24 za modem/routerem ISP UPC s veřejnou dynamickou adresou 1.2.3.4 . IP debian 192.168.0.199, brána 192.168.0.1 PC_2 misak, klient OpenVPN připojený přes LTE modem

PC_1 debian, server OpenVPN v lokalni síti 192.168.0.0/24 za modem/routerem  
ISP UPC s veřejnou dynamickou adresou 1.2.3.4 . IP debian 192.168.0.199, brána 192.168.0.1
petr@debian:~$ ip r s
default via 192.168.0.1 dev enp1s0
10.9.8.0/24 via 10.9.8.2 dev tun0
10.9.8.2 dev tun0 proto kernel scope link src 10.9.8.1
192.168.0.0/24 dev enp1s0 proto kernel scope link src 192.168.0.199

PC_2 misak, klient OpenVPN připojený přes LTE modem
misak@misak:~$ ip r s
default via 192.168.42.129 dev enp0s29f7u6 proto dhcp metric 100
10.9.8.1 via 10.9.8.5 dev tun0
10.9.8.5 dev tun0 proto kernel scope link src 10.9.8.6
192.168.42.0/24 dev enp0s29f7u6 proto kernel scope link src 192.168.42.226 metric 100

server.conf PC_1
# vychozi port
port 1194
# vychozi protokol
proto udp
# sitove rozhrani
dev tun0
# zapne rezim TLS jako server <overovani>
tls-server
# soubory certifkatu
ca      /etc/openvpn/ca.crt    # vygenerovany certifikat
cert    /etc/openvpn/server.crt
key     /etc/openvpn/server.key  # soukromy klic k serverovemu certifikatu - tajny
dh      /etc/openvpn/dh2048.pem
# omezeni prav pod kterym bezi OpenVPN
user nobody
group nogroup
# uspornejsi pridelovani adres / zatim nevim
;topology subnet
# rozsah adres pro VPN - prvni adresu obsadi server (asi 10.9.8.1), ostaní IP pro klienty
server 10.9.8.0 255.255.255.0  # interní IP adresa tun0 10.9.8.1
# nevim co to je
;push "10.9.8.0 255.255.255.0"
;push "redirect-gateway def1 bypss-dhcp"
# klientovi se naridi, aby veškerou komunikaci presmeroval
# pres VPN, a parametr def1 zajisti neodstraneni puvodni brany
;push "redirect-gateway def1"
# predani zaznamu o DNS
push "dhcp-option DNS 213.46.172.38"
;push "dhcp-option DNS 213.46.172.39"
# udrzeni spojeni - kazdych 10s / restart po 120s nedostupnosti
keepalive 10 120
# komprese dat, je treba zapnout i na klientovi
comp-lzo
# to zajistuje udrzeni klicu v pameti po restartu spojeni
persist-key
persist-tun
# zapnuti logovani
status /etc/openvpn/log/openvpn-status.log
# ukecanost zápisu do logu (minimalni)
verb 3

klient.conf PC_2
# nastaveni chovani klient
client
# jmeno typ sitoveho rozhrani
dev tun0
# vychozi port
port 1194
# vychozi protokol
proto udp
# IP adresa serveru VPN + protokol
remote 1.2.3.4 1194
# pouziti dynamickeho cisla portu pro VPN tunel
nobind
# omezeni prav pro beh OpenVPN
user nobody
group nogroup
# certifikaty
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key
# zapnuti komprese prenosu a musi byt zapnuta i na serveru
comp-lzo
# to zarucuje udrzeni klicu v pameti pri restartu spojeni
persist-key
persist-tun
# ukecanost logu
verb 3

Zatím mám nainstalované OpenVPN server a klient, PING prochází z PC_1 server na PC_2 klient a opačně.

Skvěle, teď bych:

• Vyzkoušel, že z PC_1 prochází i HTTP na PC_2 (dovnitř VPN) - tj. spustil na něm prohlížeč (může to být třeba links, pokud tam není grafické rozhraní) a navštívil http://10.9.8.6/ (nebo jakou že má ve VPN adresu PC_2 ve VPN).
• Spustil na PC_1 socat TCP4-LISTEN:8040,reuseaddr,fork "TCP4:10.9.8.6:80". Tím se web stane přístupným z internetu na http://1.2.3.4:8040/.
• Až ti toto bude fungovat, přikročíme k tomu, aby byl web dostupný na standardním portu a aby tam bylo HTTPS.

Nevím jak docílit "předání" brány lokání sítě 192.168.0.1 VPN serveru, aby bylo možno se z Internetu dostat na PC_2 v tunelu.

Nic takového není potřeba, brána v tomto vůbec nefiguruje.

Do budoucna by bylo dobré nastavit adresu klienta v OpenVPN napevno, myslím, že není garantováno, že se nezmění. Dělá se to pomocí client-config-dir /etc/openvpn/ccd v konfiguraci server. Do toho adresáře se následně umístí soubor s jménem klienta (tak jak je napsáno v certifikátu) a do něj se napíše ifconfig-push 10.9.8.6 10.9.8.1.

1. IPv6. Nemá smysl se dál zabývat se experimentem z roku 1975, který měl omylem 32-bitové adresy a totálně selhal. Doporučuji ty „hlubší znalosti“ načerpat o současném internetu, tedy IPv6.
2. Protokol pro VPN se jmenuje IPSec. Software pro výměnu klíčů a nastavení IPSec se jmenuje například StrongSwan. (OpenVPN je častý omyl, protože to má VPN v názvu; ve skutečnosti jde o jednovláknovou dětskou hračku.)