Как получить внешний IP с помощью Wireguard?

Question

[alexf95]

Мой провайдер мобильного интернета не предоставляет белый IP. Мне необходимо его получение для хостинга игрового сервера на своем компьютере. Эту проблему пытаюсь решить с Wireguard, установленным на VPS (с Ubuntu 20.04) со статическим внешним IP.
Код серверной части:

[Interface]
Address = 10.10.10.1/24
ListenPort = 51820
SaveConfig = true
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 10.10.10.2

Код клиентской части:

[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
Address = 10.10.10.2/32

[Peer]
PublicKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
AllowedIPs = 10.10.10.1/32
Endpoint = 185.13.152.185:51820
PersistentKeepalive = 20

Когда в строке на клиентской части AllowedIPs = 10.10.10.1/32, то при включении Wireguard ничего не меняется. Если поменяю значение на 0.0.0.0/0, пропадает интернет, при установке 0.0.0.0/1, 128.0.0.0/1 работает как VPN (сервер за рубежом, легко проверить), но порты не открыты. При запуске игрового сервера посмотрел нужные порты командой netstat -an: UDP 0.0.0.0:7777, UDP 0.0.0.0:27015 и т.д. Команда ping 10.10.10.1 на клиенте выполняется успешно, ping 10.10.10.2 на сервере зависает. Как перенаправить нужные, желательно все порты через VPS ?

Comments

[alexf95]

Команда iptables -L:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51820
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

[va_k]

Форвардинг установили?

sysctl net.ipv4.ip_forward = 1

[alexf95]

va_k, да, установил

[va_k]

alexf95, Если у вас пинг клиента с сервера зависает то проверьте фаервол на клиенте. Если включен, то нужно выключить.

[alexf95]

Когда на сервере выполняю route -n, то получаю:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         185.13.152.1   0.0.0.0         UG    0      0        0 ens3
10.10.10.0      0.0.0.0        255.255.255.0   U     0      0        0 wg0
185.13.152.0    0.0.0.0        255.255.255.0   U     0      0        0 ens3

Странно, что сервер 10.10.10.1 не видит клиента 10.10.10.2, а клиент видит сервер.

[va_k]

Пример порт форвардинга

[alexf95]

va_k, спасибо за подсказку, клиент начал пинговаться, когда отключил брандмауэр для общественных сетей

[alexf95]

va_k, почитал, больше всего мне подходит "маршрут по умолчанию с исключениями", но при добавлении настроек в конфигурацию клиента

PreUp = ip route add 192.168.8.0/24 via 192.168.8.1 dev eth3
PostDown = ip route del 192.168.8.0/24 via 192.168.8.1 dev eth3

в приложении Wireguard для Windows 10 отображается сообщение: "Скрипты: отключено, по политике", разбираюсь

Answer 1

[Alexey Dmitriev]

Вы не сможете подать внешний ip на свой компьютер.
Но можете просто сделать:
1. DNAT через iptables для нужных вам портов с внешнего адреса на VPS на внутренний адрес Wireguard интерфейса на вашем компьютере - все кто обратится к внешнему адресу будут перенаправлены на ваш компьютер.
2. Установить на VPS traefik,haproxy,nginx и.т.п и проксировать нужные вам порты c внешнео адреса VPS на внутренние адреса.

Comments

[alexf95]

Перенаправление всех портов с внешнего IP на VPS по сути то же, что и получение выделенного IP. Лет 7 назад получал белый ip на 4G модем у https://russianproxy.ru/. Скорость немного снижается, зато те же возможности, что и у внешнего ip.

[alexf95]

Ответ из пункта 1 правильный. Поменял настройки таблиц в WireGuard на VPS:

PreUp = sysctl -w net.ipv4.ip_forward=1
PreUp = iptables -t nat -A PREROUTING -d 185.13.152.185 -p udp -m multiport --dports 123,7777,27015,20560,27031:27036 -j DNAT --to-destination 10.10.10.2
PostDown = iptables -t nat -D PREROUTING -d 185.13.152.185 -p udp -m multiport --dports 123,7777,27015,20560,27031:27036 -j DNAT --to-destination 10.10.10.2
PreUp = iptables -t nat -A PREROUTING -d 185.13.152.185 -p tcp -m multiport --dports 8080,27015,27036 -j DNAT --to-destination 10.10.10.2
PostDown = iptables -t nat -D PREROUTING -d 185.13.152.185 -p tcp -m multiport --dports 8080,27015,27036 -j DNAT --to-destination 10.10.10.2
PostUp = ufw route allow in on wg0 out on ens3
PostUp = iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
PreDown = ufw route delete allow in on wg0 out on ens3
PreDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

Игроки видят сервер и могут к нему подключаться, но я не могу и не вижу в списке игровых серверов. Когда пытаюсь подключиться через консоль, он видит мой локальный IP 10.10.10.2 вместо публичного
185.13.152.185. Можете подсказать, где мне искать ошибку и надо ли указывать SNAT ?
Простое решение - можно подключиться через виртуальную локальную сеть 10. 10.10.2 вместо публичного адреса 185.13.152.185.

Answer 2

[Drno]

Включит NAT на стороне сервера в ядре
Ну и должно быть как раз 0.0.0.0/0 на клиенте
Ну и пробросить порты с помощью iptables - prerouting

так же по идее на клиенте надо nat и маскардд включить