Переадресация портов через vpn?

Question

[Bermut]

Стоит wireguard, на vps, к нему подключен маршрутизатор - pfsense, на его внутренний ip маршрутизируется подсеть, например, 10.0.0.0/24, порт нужно пробросить на хост 10.0.0.44/24, пытался правилом

iptables -t nat -A PREROUTING -d <ip vps> -p tcp --dport <port> -j DNAT --to-destination 10.0.0.44

но оно не работает, при этом, если подключить 10.0.0.44 напрямую к vps через vpn, и пробрасывать порт на его внутренний ip, то все работает, в чем может быть проблема? Проблема не в правилах фильтрации pfsense, если пропинговать порт 10.0.0.44 через nmap с vps, то он работает.

Answer 1

[Valentin Barbolin]

> в чем может быть проблема?
маршрутизация, ответ от 10.0.0.44 идет на default gw, а не обратно в VPN. Самый простой способ решить, это включить NAT на vps. Более сложный способ - отдельная таблица маршрутизации на микротике для VPN интерфейса.

Попробуй на VPS добавить

-A POSTROUTING -d 10.0.0.44 -p tcp -m tcp --dport <port>  -o wg0 -j MASQUERADE

Comments

[Bermut]

Да, я думал на счет nat, но это будет мешать, так как нужно знать реальные ip адреса клиентов, что по поводу таблицы маршрутизации, то pfsense не умеет такое (покрайне мере в привычном понимании)

[Valentin Barbolin]

Bermut, Если это linux 10.0.0.44, то wireguard можно на нем поднимать, а linux умеет работать с policy routing.

> то pfsense не умеет такое (покрайне мере в привычном понимании)
Вообще по идеологии, это решение очень похоже на multiwan. У тебя два интерфейса и пакет должен возвращаться с того интерфейса на который пришел.