Port-forwarding с WireGuard и UFW?

Question

[Александр]

Имеется домашний сервер. На нем в докере крутится Portainer, Home Assistant, TeamSpeak 3. Также имеется VPS сервер. Между ними настроен Wireguard. Ресурсы домашнего доступны с VPS, например, curl 20.20.20.2:8123 дает ответ. Но не получается настроить port-forawrding, чтобы ресурсы домашнего сервера были доступны по IP VPS, дабы не светить домашним IP (в TeamSpeak могут зайти не только друзья, но и знакомые, и малознакомые личности). Пробовал разные гайды, советы и т.п., ничего не помогло.

Текущие настройки:
VPS WG конфиг

[Interface]
PrivateKey = aBVntnMA2P+Tc4J82k+MueK4FlGtNrHgozo2sGRpDlg=
Address = 20.20.20.1/24
ListenPort = 51820
PreUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreUp = iptables -t nat -A PREROUTING -d %VPSIP% -p tcp --dport 8123 -j DNAT --to-destination 20.20.20.2
PostDown = iptables -t nat -D PREROUTING -d %VPSIP% -p tcp --dport 8123 -j DNAT --to-destination 20.20.20.2

[Peer]
PublicKey = 2mQadCFPdp6H3iItOt2enpTORSD9TGZ9sP9S+AIpCRo=
AllowedIPs = 20.20.20.2/32

VPS UFW

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
51820                      ALLOW       Anywhere
8123                       ALLOW       Anywhere

VPS iptables -t nat

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   15   780 DNAT       tcp  --  *      *       0.0.0.0/0            %VPSIP%       tcp dpt:8123 to:20.20.20.2

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Comments

[AlexVWill]

чтобы ресурсы домашнего сервера были доступны по IP VPS

Надо чтобы что? Чтобы VPS при обращении к его IP с каким то портом форвардил пакеты в VPN сеть даже для устройств не в VPN? Так не бывает, иначе тогда какая к черту это VPN сеть? Хотя, сделать так, чтобы одно устройство VPN сети видело другое - это возможно и это стандартная задача, для которой VPN собственно и сделана.

Можно пойти другим путем - поставить на VPS любой прокси, хотя бы Squid, и он будет форвардить все пакеты просто на твой сервер, минуя VPN. Но это небезопасно, т.к. ясно, что хоть IP будет от VPS, все пакеты пойдут на домашнюю сеть напрямую, и вопрос защиты будет лежать только на домашнем сервере.

[Александр]

AlexVWill,

Чтобы VPS при обращении к его IP с каким то портом форвардил пакеты в VPN сеть даже для устройств не в VPN?

Да, но только на конкретное устройство, на домашний сервер.

Насколько хватает моих познаний, имеющееся правило

iptables -t nat -A PREROUTING -d %VPSIP% -p tcp --dport 8123 -j DNAT --to-destination 20.20.20.2

как раз и должно это обеспечивать (входящий пакет на порт 8123 форвардить в VPN на устройство с IP 20.20.20.2 с тем же портом)

[AlexVWill]

RavingRobot,

Как раз и должно это обеспечивать

Нет, это не так. Вернее так, но лишь отчасти.
Помимо того, чтобы в VPN сеть форвардить пакеты, нужна еще и авторизация в этой сети, чтобы пакеты не просто тупо пошли по маршруту, а чтобы еще и были завернуты в туннель. Иначе... в VPN заходи кто хочешь, бери что хочешь. Т.е. ключи, пароли, авторизация, шифрование и все вот это.
Как все это сделать без VPN - я уже выше написал.

Answer 1

[A1RWALK3R]

Полагаю, ключевое тут - это "дабы не светить домашним ip", и задача стоит в отделении мух от котлет - VPN и TeamSpeak 3 должны быть доступны по ip-адресу VPS, но не пересекаться, так?

В этом случае, связанный порт домашнего сервера с контейнером TeamSpeak 3 пробрасываете на домашнем маршрутизаторе на порт ip VPS, который вы выделите для подключений к серверу TeamSpeak 3, а со стороны VPS на внешний ip:порт домашней сети. Не забываем открыть порт в UFW на VPS.

При этом, в случае белого ip домашней сети, настраиваем iptables VPS так, а в случае серого и наличия DDNS - так .

P.S. PrivateKey потому и private, чтобы его не светить.

Comments

[Александр]

Добавлю, что еще требуется
iptables -A FORWARD -i eth0 -j ACCEPT
где eth0 - сетевой адаптер VPS.
Ну и не забыть про
net.ipv4.ip_forward=1
в /etc/sysctl.conf и пробросить порт на домашнем роутере.

Либо в моем случае, т.к. использую UFW, вместо iptables можно настроить в нем (может кому тоже пригодится, в инете довольно разрозненная инфа).
В /etc/default/ufw исправить DEFAULT_FORWARD_POLICY на ACCEPT.
В /etc/ufw/before.rules в конце добавить

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 8123 -j DNAT --to-destination %HOME_IP%:8123
-A POSTROUTING -j MASQUERADE
COMMIT

После этого перезапустить UFW
systemctl restart ufw.service