Как перенаправить Wireguard сквозь промежуточный сервер?

Question

[MountainGoat]

В степях славного Казахстана стоит величественная сеть, сокрытая Wireguard. В городе Москве есть клиент на Win11, который хочет к ней подключатся. И он подключается! И всё работает! Но волею Аллаха где-то в пути теряются множество пакетов, из-за чего скорость связи медлительна, как ишак в летний полдень.
А ещё есть некоторая VPS. Экспериментально установлено, что связь от VPS как с Казахстаном, так и с Москвой отличная. Поэтому очевидная идея как-то заставить трафик клиента идти через эту VPS.
Пробовал сделать так:
stone -n -d -d -d 1.2.3.4:51820/udp 51820/udp
или пробовал так:

/sbin/iptables -t nat -A PREROUTING -i eth0 -p udp --dport 51280 -j DNAT --to-destination 1.2.3.4:51820

Вах, не работает!
Согласно tcpdump на VPS, пакеты приходят и уходят, но в жарком Казахстане ни пакета не видят! При том, что соединение Wg, инициированное с самой VPS, отлично соединяется, так что блокировки тут не при чём.
Ip forwarding включил, дырку в ufw провертел.
Везде Debian 12 кроме клиента, он на Win11.
Вах, горе мне!

Comments

[IPMI]

Может быть хостинг провайдер виноват, спрашивал у хостинг провайдера Казахстана?

[Keffer]

MountainGoat c впсок ( в частности, с firstbyte) в империи на KZ направление банится WG и даже L2TP. Естественно в блокировках никто и никогда не признается. Используй что то вроде ip-ip туннеля или даже eoip а можно и GRE. Прямая ip связность работает. Хромают на обе ноги всякие туннели вроде ipsec или wg.

Answer 1

[Drno]

iptables -t nat -A PREROUTING -p udp --dport 720 -i eth0 -j DNAT --to 5.196.211.5:720

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Плюс NAT в ядре. всё
ну и фаервол если зачем то он есть

Comments

[MountainGoat]

Что то я так даже SSH не могу подключить.

iptables -t nat -L --line-number
...
Chain PREROUTING (policy ACCEPT)
...
3    DNAT       tcp  --  anywhere             anywhere             tcp dpt:3822 to:1.2.3.4:3322

Напрямую на 1.2.3.4 -p 3322 подключается, а на сервере на порту 3822 SSH нету.

Answer 2

[graf_Alibert]

А ещё есть некоторая VPS.

Настройте на ней прокси и подключайтесь через неё

Comments

[MountainGoat]

Там всё UDP - и сам Wireguard, и клиент в нём.

[graf_Alibert]

MountainGoat, и что? я тоже wg на udp использую, вот пример конфига для nginx

upstream wg {
    server 1.2.3.4:51820
}


server {
    listen 51820 udp;
    proxy_pass wg;
}