Помогите разобраться с виртуальным роутером на kvm
Всем привет! Помогите разобраться с роутером на виртуалке под KVM. На сервере стоит CentOS Linux release 7.2.1511 (Core) с последними обновлениями, при установке выбирал вариант хост виртуализации. Есть 4 сетевые карты enp3s0 - lan 192.168.0.20, enp4s0 - lan, enp5s2 - internet1, enp5s3 - internet2.
Виртуалку настраивал через virt-manager ,стоит Ubuntu 14.04.5 LTS обновлённая, есть 3 стевые карты (драйвер virtio): eth0 (режим bridge на enp3s0) - lan 192.168.0.19, eth1 (режим passthrough на enp5s2) - internet1 212.XXX.XXX.XXX, eth2 (режим passthrough на enp5s3) - internet2 217.XXX.XXX.XXX. Стоит OpenVPN 2.3.2-7ubuntu3.1 с интерфейсом tun0 10.1.1.1, раздаётся интернет в локальную сеть. Не получается пробросить RDP 3389 на сервер в локальной сети, пытался черезе vpn (10.1.1.1) пробросить и напрямую с внешнего ip 217.XXX.XXX.XXX, никак не получается.
iptables-save
# Generated by iptables-save v1.4.21 on Fri Dec 2 14:11:16 2016 *mangle
:PREROUTING ACCEPT [68:5793]
:INPUT ACCEPT [68:5793]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [35:3300]
:POSTROUTING ACCEPT [35:3300]
-A PREROUTING -s 192.168.0.0/24 -j MARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Fri Dec 2 14:11:16 2016
# Generated by iptables-save v1.4.21 on Fri Dec 2 14:11:16 2016
*filter
:INPUT ACCEPT [28:3029]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [55:5620]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i tun0 -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p udp -m conntrack --ctstate NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth2 -p udp -m conntrack --ctstate NEW -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 10050 -j ACCEPT
-A INPUT -i tun0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -i tun0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth1 -j DROP
-A INPUT -i eth2 -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
COMMIT
# Completed on Fri Dec 2 14:11:16 2016
# Generated by iptables-save v1.4.21 on Fri Dec 2 14:11:16 2016
*nat
:PREROUTING ACCEPT [14:1536]
:INPUT ACCEPT [14:1536]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -d 217.XXX.XXX.XXX/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389
-A PREROUTING -d 10.1.1.1/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.98.0:3389
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
-A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source 212.XXX.XXX.XXX
-A POSTROUTING -m mark --mark 0x2 -j SNAT --to-source 217.XXX.XXX.XXX
COMMIT
# Completed on Fri Dec 2 14:11:16 2016
iptstate -d 10.1.1.1
IPTState - IPTables State Top
Version: 2.2.5 Sort: SrcIP b: change sorting h: help Filters: dst: 10.1.1.1
Source Destination Prt State TTL
10.1.1.6:39674 10.1.1.1:3389 tcp SYN_SENT 0:01:53
tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
14:44:38.455458 IP 10.1.1.6.39675 > 10.1.1.1.3389: Flags S, seq 3473071785, win 65535, options [mss 1352,sackOK,TS val 36686062 ecr 0,nop,wscale 6], length 0
14:44:39.448837 IP 10.1.1.6.39675 > 10.1.1.1.3389: Flags S, seq 3473071785, win 65535, options [mss 1352,sackOK,TS val 36686162 ecr 0,nop,wscale 6], length 0
14:44:41.449791 IP 10.1.1.6.39675 > 10.1.1.1.3389: Flags S, seq 3473071785, win 65535, options [mss 1352,sackOK,TS val 36686363 ecr 0,nop,wscale 6], length 0
14:44:45.471728 IP 10.1.1.6.39675 > 10.1.1.1.3389: Flags S, seq 3473071785, win 65535, options [mss 1352,sackOK,TS val 36686764 ecr 0,nop,wscale 6], length 0
4 packets captured 4 packets received by filter 0 packets dropped by kernel
Что я делаю не так?