Как настроить VDS в качестве интернет шлюза для роутера за NATпровайдера?

Question

[Серёга]

Есть vds. Есть роутер без статик IP за NAT провайдера.
Цель: сделать так, чтоб весь трафик приходящий на VDS (привязано доменное имя к статическому IP VDS) улетал на WAN роутера. Далее средствами роутера трафик раскидывается по своим LAN серверам, например 443 порт и 80 порт на 192.168.1.5, почтовые сервисы на 192.168.1.8, и т.д.. И обратно, из LAN в WAN и далее выход через VDS. Сейчас роутер подключен через Wireguard, а на VDS настроено дофига переадресаций в LAN за роутером. Мне это не нравится. Можно ли организовать так, чтоб VDS работал по типу функции DMZ (Demilitarized Zone), прозрачно отправляя весь трафик только на роутер и обратно, и уже на роутере рулить маршрутами, NATом, файрволом.
Как это сделать? Через VPN? proxy? Ещё какие-то варианты?
Роутер - микротик RB5009.

Comments

[Ziptar]

Цель: сделать так, чтоб весь трафик приходящий на VDS (привязано доменное имя к статическому IP VDS) улетал на WAN роутера.

Никак. На wan за провайдерским натом он не прилетит. Туннель поднимай, и через туннель гоняй.

Можно ли организовать так, чтоб VDS работал по типу функции DMZ (Demilitarized Zone), прозрачно отправляя весь трафик только на роутер и обратно, и уже на роутере рулить маршрутами, NATом, файрволом.

Можно, только откуда ж мы знаем что у тебя там на vds настроено. Кроме одного туннеля между роутером и vds тебе ничего не надо. Тем более, что

а на VDS настроено дофига переадресаций в LAN за роутером.

вообще выглядит достаточно экстравагантной конструкцией. Хотя если ты подразумеваешь портфорвардинг банальный, то по большому счёту сначала делаешь портфорвардинг к роутеру через туннель, на роутере портфорвардинг куда надо

[Кот Абсолютный]

Как это сделать?

Никак. Провайдерский нат для тебя совершено и абсолютно непрозрачен. Инициатором подключения может быть только занатовская сторона.

Аналогия: Есть общежитие. Ты точно знаешь, что в нем живет Света, которая даст за N рублей. Но кроме того, что ее зовут Света (внутреннего неуникального IP) не знаешь ничего, а на вахте злобная старая несговорчивая карга (нат). Какие есть шансы попасть к Свете в комнату:
- Связаться по телефону и попросить выйти (Установить соединение через заранее оговоренный канал с участием третьей стороны)
- Дождаться пока Света вспомнит про тебя и выйдет сама (дождаться инициирования соединения с той стороны)

Answer 1

[Alexey Dmitriev]

Так никто не делает. Сделайте site to site VPN между VDS и роутером и переадресовывайте нужные вам порты сразу с ВДС на конкретный сервис. Либо если там не порты, то ещё промежуточный реверз прокси

Comments

[Серёга]

По идее, этот site to site VPN можно делать не шифрованным, для снижения нагрузки на роутер? Трафик там всё равно шифрованный, до VDS, а далее он просто просовывается в роутер. Или я упускаю какой-то момент, и шифровать нужно?
А в целом можно эти все перенаправления и портов и доменов сделать на реверс прокси, это нормально будет? Или надо iptables задействовать?

[Alexey Dmitriev]

Нужно шифровать, можно через реверз прокси, можно через iptables

Answer 2

[Drno]

неможно
нужно связать VPS и роутер
можно впн любой который заработает
можно p2p типа Zerotier \ Nebula \ Tailcsacle че хочешь на выбор

Дальше уже переадресация портов и на микротике 2й раз переадресация портов