Есть "сервер" с белым ИПом, на нем фряха.
Есть "комп" с серым ИПом.
Нужно чтобы из внешнего мира можно было зайдя через ИП "сервера" на 3000 порт, попасть на 3000 порт "компа".

Туннель SSH между "сервером" и "компом" допустим я сделал, с "сервера" можно попасть в "комп" на нужный порт.

Но как теперь сделать чтобы внешний человек мог попадать на "комп"?

(0) http://www.dlink.ru/ru/faq/246/1156.html

+ (0) или ничего не нужно уже делать? Должно уже работать так как уже сделано?

Проверяем: на "сервере" делаю
telnet 127.0.0.1 3000
попадаю на "комп" как и аоложено.

Если сделать с стороннего компа:
telnet `ИП сервера` 3000
то должен ведь попасть на "комп"? Или не должен? Нужно что-то еще установить или если нчего не мешает то соединение должно произойти?

Что такое "серый IP" в вашем случае? надеюсь не 192.168.X.Y и не 10.X.Y.Z

И да "SSH туннель" это что? Обычно используют VPN в каком то виде и далее маршрутизацию на сервере.

Комп 1 <VPS> Сервер <VPS или интернет> Комп 2

чтобы попасть с компа 2 на комп 1 на сервере должна быть настроена проброска

(4) * <VPN>

(4) Ты мне помочь пытаешься? Если не знаешь что такое SSH туннель и серый IP, то не надо.

Обратный туннель в помощь.
ssh user@server -R 3000:localhost:3000 -N
Но туннели работают только для тсп хотя наверное вы знаете

(7) Спасибо, разобрался, работает! Одного обратного туннеля оказалось достаточно, ничего дополнительно настраивать не пришлось.

Еще есть классная вещь autossh которая поднимает туннель если пропала связь. Можно в автозапуск поставить.
Пробовал на виндосе с помощью cgwyn создавать эту службу. Она запускалась, но работала не стабильно. Еще были способы для запуска службы, я их тоже пробовал, но ни один не работал стабильно

(6) Что такое "ssh туннель" я в курсе, но использовать это для двойной проброски это полный изврат...

Но вот не знать что такого однозначного понятия как "серый ip" нету... Есть "фиксированный|статический белый ip", есть "динамический белый ip".

А есть https://ru.wikipedia.org/wiki/Частный_IP-адрес, и что ты обозвал "серым IP" я реально не понял...

Когда такое требование возникло, обеспечить доступ к видеокамерам в отделах без белого ip, то решил через l2tp vpn сервер на vps хостинге куда роутеры подключались и стали доступны все устройства по любым портам.

Серый ип это который за натом. Вроде неоднозначности нет. Использовать впн в данном случае неудобно потому что его сложнее настроить. Потом надо пробросить порт из одной сети в впн. Это настраивать в 10 раз дольше чем.  Это не двойная проброска это просто обратный туннель.
"стали доступны все устройства по любым портам". Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

(12) ОК а как обзовешь ip который "за прокси" ?

>"стали доступны все устройства по любым портам". Это как? У вас один внешний ип и куча устройств которые используют одинаковые порты.

маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают

автоматическая трансляция адресов
подсеть1: 192.168.1.0 и подсеть2 тоже: 192.168.1.0

соединяем через vpn и все адреса подсети2 для доступа из 1-й (или любой иной) становятся вида 192.168.101.X
Т.е. сеть 1: был адрес железки внутри ее 192.168.1.2 192.168.101.2 и аналогично с прочими

(13) * был 192.168.1.2, стал 192.168.101.2

(14)+ в реальности эту "трансляцию ip адресов" можно как угодно настраивать, современные роутеры (обожаю openwrt) почти что угодно позволяют делать с ними

"маршрутизация все устройства становятся доступны по уникальным ip адресам даже если эти ip адреса в отдельных подсетках разделенных совпадают"
То есть нужно столько же уникальных белых ип сколько внутренних? Я правильно понял? Надеюсь речь идет о видеорегистраторах, а то для каждой камеры отдельный ип это странно.
//ОК а как обзовешь ip который "за прокси" ?
Он серый. С серого ип поднимаем туннель на белый ип. Зачем его еще как-то называть?

(16) Не нужно никакой отдельный белый ip, он всего 1 достаточно на vpn сервере.
Далее просто роутер на каждую отдельную подсетку, обычно там где видеорегистратор (или несколько отдельных ip-камер) еще минимум 1 и более компов (или других девайсов типа МФУ, медиаплееров для проекторов рекламы и т.д.) есть в отделах

На роутерах настроена маршрутизация в результате откуда угодно можно куда угодно соединяться и не думать о проброске отдельных портов.

(16) ip за прокси не обязательно серый, а может быть вполне белым

Вам надо получить доступ к такой то камере, которая за натом. Как это сделать из интернета, а не из внутренней сети, используя ваш способ? Как это сделать прописав маршруты?  
"ip за прокси не обязательно серый, а может быть вполне белым"
Я говорил что его не обязательно называть как-то особенно. То что он за прокси не значит что его надо как-то называть, я про это.
Опенврт кстати тоже уважаю, у самого установлена.

(10) Да ладно, не обижайся ))) Нельзя же быть экспертов во всех вопросах. А ВПН тут как раз полный изврат.
Одну строчку в консоли написать гораздо проще чем ВПН настраивать.

(20) тимвьювер или хамачи еще проще...

(21) Проще чем ВПН. Но сложнее чем SSH

(13) Ну все правильно, насчет того что серый айпи это тот что за натом.
Просто за натом белого не может быть в принципе.

(0) Непонятно.
Что значит сделал SSH между "сервером" и "компом" ? Нафига?
У тебя комп за натом, нужно просто в настройках NAT пробросить порт.

(23) >Просто за натом белого не может быть в принципе.

сфуяли? кто мешает делать подмену "белых ip" (и портов) шлюзу что и является основой https://ru.wikipedia.org/wiki/NAT

"Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). "

(25)+ при обычной маршрутизации пакеты пересылаются как есть (TTL не учитываем), при NAT происходит подмена IP:Port а затем в обратных пакетах обратная подмена

(24) >> У тебя комп за натом, нужно просто в настройках NAT пробросить порт.

Че, правда? Спасибо, не знал! Тогда конечно проще "в настройках NAT пробросить порт." )))))))

Нат там может быть не доступен. Также если это дома то там может быть 2 ната, один за другим и ни к одному из них нет доступа. Вообще кто дружит с юниксами советую изучить ssh это очень крутая штука.

Не доступен для администрирования в смысле.

(28) Спасибо, дружище. Сразу видно, понял вопрос правильно. А вообще см (8), уже все хорошо.