CHR в Яндекс Облаке

[nsys]

Привет всем!
Столкнулся с проблемой, имеем CHR в облаке яндекса. Сеть в облаке настроена, в инет ходим через CHR.
CHR не получает прямой айпи, он находится за натом облака. За CHR стоит OpenVPN сервер, на убунте, и проблема в том, что при коннекте к нему (порты все проброшены, соединение работает) в логах openVPN я вижу айпишку не клиента, откуда он подключился, а внутренний адрес CHR.
Немного сумбурно, но как-то так. Может кто сталкивался с подобным, можно ли что-то сделать?

[Inner]

У меня была подобная ситуация с амазоном. Там также давалось два адреса. И решалось проще некуда. Нужно было в группе безопасности открыть требуемые порты. Получалось что-то в роде перенаправления требуемых портов. Но единственное что не ясно, то был не FireWall, а именно группа безопасности. Возможно в Вашем случае нечто подобное

[nsys]

Помогло некое подобие HairPin NAT. Проброс порта сделан без указания DST Address и интерфеса.

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat dst-address=172.16.1.0/24 src-address=172.16.1.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=172.16.1.0/24
add action=dst-nat chain=dstnat dst-port=1194 protocol=udp to-addresses=172.16.1.5 to-ports=1194