Имеется mikrotik
100.100.100.100 - WAN
10.0.0.1 - LAN
Имеется компьютер в локальной сети с установленным на него Wireguard сервером
10.0.0.100:20000 (адрес:порт Wireguard сервера)
Из локальной сети Wireguard клиент без проблем подключается к 10.0.0.100:20000
Делаю на mikrotik dstnat порта 20000 через WAN интерфейс на 10.0.0.100:20000
Из внешней сети Wireguard клиент не подключается к 100.100.100.100:20000
Если делаю на mikrotik dstnat необходимого сервиса на компьютере в локальной сети через WAN интерфейс, из внешней сети сервис становится доступным.
В чём может быть загвоздка?
P.S. поднимать VPN на микротик не мой вариант.
Проброс порта к серверу Wireguard внутри локальной сети
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В firewall у вас оно тоже разрешено?
Telegram: @thexvo
-
- Сообщения: 4
- Зарегистрирован: 08 окт 2022, 01:09
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Оно требуется всегда, просто в дефолтном firewall'е оно в неявном виде присутствует.
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.
В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.
В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new
Telegram: @thexvo
-
- Сообщения: 4
- Зарегистрирован: 08 окт 2022, 01:09
У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован. Т.е. dstnat согласно этому правилу разрешён.xvo писал(а): ↑08 окт 2022, 10:45 Оно требуется всегда, просто в дефолтном firewall'е оно в неявном виде присутствует.
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.
В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new
Ранее этого правила хватало. Внутрь локальной сети проброшено несколько портов к разным хостам, которые сейчас без проблем работают. Проблема сейчас конкретно в пробросе Wireguard порта.
На всякий случай попробовал добавить ещё ваше правило, чтобы явно разрешить dstnat, но ожидаемо, ничего не изменилось.
Последний раз редактировалось Echinus 08 окт 2022, 12:00, всего редактировалось 1 раз.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Тогда логично, что другого правила не надо, и проблема в чем-то ещё.
Попробуйте другой порт, может быть у провайдера какой-то диапазон прикрыт.
И firewall на машине, которая wireguard-сервер.
Telegram: @thexvo
-
- Сообщения: 4
- Зарегистрирован: 08 окт 2022, 01:09
Есть работающий проброс порта из этого диапазона до S3 сервера, так что и не в этом дело. Есть подозрение, что это какие-то особенности работы самого Wireguard, но конкретики в интернете найти не могу.
При проверке Firewall на компьютере с Wireguard сервером отключал, тоже не в этом дело.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Нет там никаких особенностей.
Порт пробрасывается точно так же, как для любого другого сервиса.
Порт пробрасывается точно так же, как для любого другого сервиса.
Telegram: @thexvo