Проброс порта к серверу Wireguard внутри локальной сети

Обсуждение ПО и его настройки
Ответить
Echinus
Сообщения: 4
Зарегистрирован: 08 окт 2022, 01:09

Имеется mikrotik
100.100.100.100 - WAN
10.0.0.1 - LAN

Имеется компьютер в локальной сети с установленным на него Wireguard сервером
10.0.0.100:20000 (адрес:порт Wireguard сервера)
Из локальной сети Wireguard клиент без проблем подключается к 10.0.0.100:20000

Делаю на mikrotik dstnat порта 20000 через WAN интерфейс на 10.0.0.100:20000
Из внешней сети Wireguard клиент не подключается к 100.100.100.100:20000
Если делаю на mikrotik dstnat необходимого сервиса на компьютере в локальной сети через WAN интерфейс, из внешней сети сервис становится доступным.

В чём может быть загвоздка?

P.S. поднимать VPN на микротик не мой вариант.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В firewall у вас оно тоже разрешено?


Telegram: @thexvo
Echinus
Сообщения: 4
Зарегистрирован: 08 окт 2022, 01:09

xvo писал(а): 08 окт 2022, 08:34 В firewall у вас оно тоже разрешено?
Не встречал ситуаций, когда для правила dstnat требовалось бы ещё какое-то дополнительное правило firewall. Подскажите, что конкретно необходимо разрешить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Оно требуется всегда, просто в дефолтном firewall'е оно в неявном виде присутствует.
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.

В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new


Telegram: @thexvo
Echinus
Сообщения: 4
Зарегистрирован: 08 окт 2022, 01:09

xvo писал(а): 08 окт 2022, 10:45 Оно требуется всегда, просто в дефолтном firewall'е оно в неявном виде присутствует.
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.

В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new
У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован. Т.е. dstnat согласно этому правилу разрешён.
Ранее этого правила хватало. Внутрь локальной сети проброшено несколько портов к разным хостам, которые сейчас без проблем работают. Проблема сейчас конкретно в пробросе Wireguard порта.
На всякий случай попробовал добавить ещё ваше правило, чтобы явно разрешить dstnat, но ожидаемо, ничего не изменилось.
Последний раз редактировалось Echinus 08 окт 2022, 12:00, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Echinus писал(а): 08 окт 2022, 11:56 У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован.
Тогда логично, что другого правила не надо, и проблема в чем-то ещё.
Попробуйте другой порт, может быть у провайдера какой-то диапазон прикрыт.

И firewall на машине, которая wireguard-сервер.


Telegram: @thexvo
Echinus
Сообщения: 4
Зарегистрирован: 08 окт 2022, 01:09

xvo писал(а): 08 окт 2022, 12:00
Echinus писал(а): 08 окт 2022, 11:56 У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован.
Тогда логично, что другого правила не надо, и проблема в чем-то ещё.
Попробуйте другой порт, может быть у провайдера какой-то диапазон прикрыт.
Есть работающий проброс порта из этого диапазона до S3 сервера, так что и не в этом дело. Есть подозрение, что это какие-то особенности работы самого Wireguard, но конкретики в интернете найти не могу.

При проверке Firewall на компьютере с Wireguard сервером отключал, тоже не в этом дело.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Нет там никаких особенностей.
Порт пробрасывается точно так же, как для любого другого сервиса.


Telegram: @thexvo
Ответить