Как сделать vpn туннель сохранив ip источника?

Question

[aromensky]

Есть 2 сервера.
У первого есть 2 ip адреса.
И есть второй сервер, он за натом.
Оба связаны друг другом через WireGuard. Первый - 10.0.0.1, второй - 10.0.0.2.
Мои правила nftables выглядят так:

nft add rule nat POSTROUTING oifname "wg0" masquerade
nft add rule ip nat PREROUTING iifname "eth0" tcp dport {20300-20499} dnat to 10.0.0.2
nft add rule ip nat PREROUTING iifname "eth0" udp dport {20300-20499} dnat to 10.0.0.2

Но это меня не устраивает, ведь сервер в итоге будет получать всё от одного и того же ip, 10.0.0.1
Я уже не говорю о пробросе второго ip адреса на определённый компьютер.
Я может тупой или отбитый, но есть же хоть какое то технология которая может решить эту проблему.

Comments

[Valentin Barbolin]

Есть пару вариантов
1) Если мы говорим про WEB, то можно использовать прокси.
2) Универсальный вариант будет использование отдельной таблицы маршрутизации для VPN интерфейса (ip rule), в таком варианте можно отказаться от masquerade на первом сервере.

Answer 1

[Zolg]

Короткий ответ капитана очевидность: если не делать на впн интерфейсе трансляцию адресов

nft add rule nat POSTROUTING oifname "wg0" masquerade

то трансляция адресов осуществляться не будет и пакеты будут отправлены в vpn с оригинальными адресами источника.
Длинный же ответ начинается словами, что без настройки pbr на 10.0.0.2 (ну и, естественно, allowed ipв туннеле и правил фаервола на обоих машинах) этот сетап как вы хотите работать скорее всего не будет (основная неопределенность - в ваших хотелках)