Помогите, пожалуйста, решить задачку.

Имеется:

роутер1 (белый WAN, openVPN-клиент) |

роутер2 (белый WAN, openVPN-сервер) | сеть 10.8.0.0/24

роутер3 (серый WAN, openVPN-клиент) |

у каждого роутера, соответственно, своя LAN-сеть: 192.168.1(2,3).0/24

В сети за роутрером3 имеется web-сервер, который нужно вытащить наружу, через белый WAN роутера1 (LAN-сеть 192.168.1.0/24). Иными словами:

- при запросе на порт 80 к WAN роурера1 ответить должен порт 80 машины 192.168.3.12/24 - LAN сеть роутера3

Маршруты настроены и DNAT перенаправляющий порт 80 на 192.168.3.12/24 имеется на роутере1. Но проблема в том, что работает это только из локальной (LAN) сети роутера1. т.е. из 192.168.1.0/24 все работает, а если попробовать с любого внешнего адреса зайти, то - нет.

Наверное схема убогая, но нужно сделать именно так, желательно только средствами маршрутов и iptables роутера1.

Спасибо!