WireGuard VPN, как организовать входящее соединения для клиента?

Question

[Magnoliya]

OS Debian_11. Установил WireGuard VPN . Компьютер клиента, за НАТ и арендованый ВПС с белым ЙП . Локальные адреса клиента(10.0.0.2) сервера (10.0.0.1).
Программа которая работает на клиенте, не получает входящие соединения (no incoming connection). Исходящие все проходят. Как мне добиться прохождения входящих соединений из интернета на компьютер клиента ?

конфиг клиента

[Interface]
Address = 10.0.0.2/32
PrivateKey = PRIVATE_KEY
DNS = 1.1.1.1

[Peer]
PublicKey = iQFHSxCoxL8h/J72f9b5OXdQiGj12diTPo9oUb4UkAI=
AllowedIPs = 0.0.0.0/0
Endpoint = IP_ADDRESS:51820
PersistentKeepalive = 20

конфиг сервера

[Interface]
Address = 10.0.0.1/32
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820
PrivateKey = PRIVATE_KEY

[Peer]
PublicKey = IYQV2KFHT9T4kPFDKjBTxJ1z+7/ZMmRd4fUo99pu+FA=
AllowedIPs = 10.0.0.2/32

Comments

[Valentin Barbolin]

iptables -A FORWARD -i %i -j ACCEPT;
Разрешить форвардить трафик который от клиента VPN ВХОДИТ в VPN сетевой интерфейс.

А где правило которое разрешает форвардить трафик который ВЫХОДИТ из VPN интерфейса?
iptables -A FORWARD -i %i -o %i -j ACCEPT;

[Magnoliya]

Я это взял из инструкции .... Может быть эти правила из конфига вообще удалить ? ...и начисто прописать правильно. Подскажите пожалуйста какие команды и куда прописать ?

Answer 1

[ky0]

Нет правила iptables, форвардящего пакеты из интернета на нужный порт клиента.

Comments

[Magnoliya]

подскажите пожалуйста, на моем конкретном примере, как это сделать ? конкретные команды и где ?

[Magnoliya]

мне надо на порт клиента 18080 и на 18083

[ky0]

Magnoliya, направление движения:

-t nat -A PREROUTING -i %ethX% -p tcp -m tcp --dport 18080 -j DNAT --to-destination %client_ip%:18080
-A FORWARD -d %client_ip% -p tcp -m tcp --dport 18080 -j ACCEPT

[Magnoliya]

эти обе команды на сервере надо дать ?

[Magnoliya]

ky0, спасибо, попробую разобраться... напишу тогда. Направление понял.) только подскажите в Вашем примере конфига, вы имели ввиду интерфейс сервера по умолчанию (он у меня eth0) или интерфейс созданный WireGuard ( wg0) ?