Как проксировать траффик с Wireguard к Openconnect?

Question

[ecalcutin]

Имею VPS Ubuntu 22.04 сервер. Хочу использовать его в качестве VPN (Wireguard или IPSec/IKEv2) и помимо этого, с этого же VPS подключаться к моей рабочей корпоративной сети - с помощью openconnect. Таким образом, имя 1 VPS убить 2 зайцев - и обход блокировок, и для работы.
Корпоративная сеть имеет свой DNS server, для примера пусть будет 20.20.20.20 - DNS Server.

В качестве начала, я использовал https://github.com/hwdsl2/wireguard-install скрипт для поднятия wireguard серверва, и могу подключаться и в целом все ок. Я предполагаю, что нужно включить порт форвардинг и что-либо сделать с таблицей маршрутов но я в этом далеко не силен.

Вопрос 1 - Как настроить проксирование, чтоб при подклюнии через WireGuard к VPS я имел доступ так же к корпоративной сети?
Вопрос 2 - Т.к. корпоративная сеть имеет свой DNS сервер, то что необходимо сделать чтоб с HOST OS я мог так же открывать корпоративные ресурсы?

Даны интерфейсы (VPS):
ens3 - ethernet
wg0 - wireguard server
tun0 - создается при подключении c openconnect

Answer 1

[Valentin Barbolin]

После поднятия VPN на Cisco Any Connect на VPS появляется сетевой интерфейс с IP ?

Все достаточно стандартно
1. На HOST PC весь трафик завернуть в тунель или только сети которые надо.
Так же надо что-то решить с DNS 20.20.20.20, тут
- либо все запросы на него заворачивать
- либо настроить политику NRPT на windows
- либо использовать VPN (openVPN, ZeroTier) которые умеет разделять DNS запросы на основании домена
- либо поднять на VPS сервер DNS типа unbound и на нем настроить правила пересылки, соответственно все свои запросы заворачивать на этот DNS

2. На VPS включить форвард и маскарад.
echo 1 > /proc/sys/net/ipv4/ip_forward # включаем форвард
iptables -I FORWARD -i wg0 -j ACCEPT # разрешаем все что приходит c wg0 интерфейс
iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE # натим все что приходит с wg0 и уходит в тунель Cisco, тут вместо tun0 yказать интерфейс который светить в системе VPS после поднятия туннеля на Cisco.

Comments

[ecalcutin]

так уже близко!
Сделал:

1. echo 1 > /proc/sys/net/ipv4/ip_forward
   
2. iptables -I FORWARD -i wg0 -j ACCEPT
   
3. iptables -I FORWARD -i wg0 -j ACCEPT
   

НА шаге iptables -t nat -I POSTROUTING -i wg0 -o tun0 -j MASQUERADE выдает ошибку что iptables v1.8.7 (nf_tables): Can't use -i with POSTROUTING
Я попробовал просто iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE и теперь с хост машины пингуется этот самый DNS сервер(корпоративный). Однако в браузере открывать страницы не могу, нужно что-то с DNS сделать. Внутри VPS могу пинговать по domain.name а вот снаружи (из ПК) - только по IP.

[ecalcutin]

root@vm1161119:~# ip -c a
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens3: mtu 1500 qdisc fq state UP group default qlen 1000
link/ether 52:54:00:aa:f4:69 brd ff:ff:ff:ff:ff:ff
altname enp0s3
inet 45.142.212.245/24 brd 45.142.212.255 scope global ens3
valid_lft forever preferred_lft forever
inet6 fe80::5054:ff:feaa:f469/64 scope link
valid_lft forever preferred_lft forever
3: wg0: mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.7.0.1/24 scope global wg0
valid_lft forever preferred_lft forever
4: ip_vti0@NONE: mtu 1480 qdisc noop state DOWN group default qlen 1000
link/ipip 0.0.0.0 brd 0.0.0.0
5: tun0: mtu 1390 qdisc fq state UNKNOWN group default qlen 500
link/none
inet 172.22.210.43/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::de67:a361:b32c:a76e/64 scope link stable-privacy
valid_lft forever preferred_lft forever

[ecalcutin]

Оказалось, нужно всего-то добавить DNS сюда. Спасибо большое Валентин!

[Valentin Barbolin]

ecalcutin, Где моя галочка?
От меня тоже спасибо, за нормально оформленный вопрос, все бы так желали.