Почему одно и тоже условие, в одной строке выдает TRUE, во второй FALSE?

Блин точно... он же получается дважды сравнивает. Спасибо. Поправил.

Чем удобнее всего проверить прохождение трафика по сети?

Совсем забыл, что в Windows теперь есть рабочий WSL. Все вопросы по тестам автоматом отпали )
iperf решит мои проблемы. Спасибо.

Чем удобнее всего проверить прохождение трафика по сети?

pfg21, iperf скорее всего подойдет... а грузить машины с флешки ради теста... ну, хз )

Чем удобнее всего проверить прохождение трафика по сети?

нет у Windows MTR, тот что есть не умеет работать с протоколами вообще. Тупо трассировка.

Кто в данном случае дурак, я или микротик?

Mystray, Wexter, Diman89, Дело было в ВЕРСИИ. ГРЕ поднимается только на 6.46.8! И ни на какой другой не стартует.

ВСЕМ СПАСИБО.

Кто в данном случае дурак, я или микротик?

Wexter, Diman89, Отвечаю почему 7.1... Потому что Stable повел себя точно так же.
Про "одном широковещательном домене" куча курсов и роликов демонстрируют поднятый туннель находясь в одной сети.

Ок. Сейчас попробую long-term

Кто в данном случае дурак, я или микротик?

Keffer, Чистая. Это взят диск в сайта микротик и развернут. ВСЕ.
Далее WAN он подцепляет сам по DHCP. GRE поднимаю я.
Файрвол чистый - т.е. пропускающий всё и вся.
Diman89, Эти машины VMWare (метка CHR). Они в одной сети (фактически соединены одним свичем, или вообще одним кабелем ). Сеть соответственно виртуальная. Наружу доступ через НАТ гипервизора. Но это вопросу мало поможет )

Как настроить прохождение трафика в WireGuard интерфейс?

Огромное спасибо за наводку. Побегу пробовать )

Как сделать проброс пакетов без подмены адреса отправителя?

Andrey Barbolin, значит придется виртуалить микротик на систему сверху... Спасибо.

Как сделать проброс пакетов без подмены адреса отправителя?

Andrey Barbolin, ВПН интерфейс на сервере один. Если вы про это.
Если вдруг поможет, то ВПН поднят с использованием WireGuard

Как сделать проброс пакетов без подмены адреса отправителя?

Andrey Barbolin, VPN туннелей 4 шт. На концах каждого из них машина с IP адресом, на который коннектятся клиенты.
Выше данные одного туннеля. У остальных в правилах меняется только внешний IP.
10.7.0.3 - это ВПН адрес сервера с исходной службой на которой хочется видеть не VPN IP, а реальные.
Грубо говоря, туннели это зеркала одного сервера.

Как сделать проброс пакетов без подмены адреса отправителя?

Andrey Barbolin, А если у меня более 1 VPN машины. И клиенты идут с разных VPN туннелей.... Как решить такую задачу? Несколько шлюзов как я понимаю, не вариант же....

Как сделать проброс пакетов без подмены адреса отправителя?

Andrey Barbolin, совершенно верно.
На шлюз провайдера. (а если уж совсем точно, на роутер, который подключен к провайдеру).
Можу поменять в принципе на ВПН тунель, ибо выше описанные правила позволяют гонять весь трафик через него. Но хотелось бы сего не делать.

Как сделать проброс пакетов без подмены адреса отправителя?

Andrey Barbolin,

root@26506:~# ip ad
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:b6:3f:80 brd ff:ff:ff:ff:ff:ff
    inet 195.19.192.44/24 brd 195.19.192.255 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:feb6:3f80/64 scope link
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.7.0.2/32 scope global wg0
       valid_lft forever preferred_lft forever
root@26506:~#

Как сделать проброс пакетов без подмены адреса отправителя?

Sand, 1
Если бы там было 0, вообще бы переадресация не работала бы ни как. А сейчас она работает

Как сделать проброс пакетов без подмены адреса отправителя?

Sand,

root@26506:~# iptables -nvL
Chain INPUT (policy DROP 80 packets, 3694 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:2306:2802 state NEW

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       10.7.0.0/24          0.0.0.0/0
    0     0 ACCEPT     all  --  wg0    *       0.0.0.0/0            0.0.0.0/0
  159  8427 ACCEPT     all  --  *      wg0     0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:2306:2802 state NEW
    0     0 ACCEPT     udp  --  ens3   *       0.0.0.0/0            10.7.0.3             udp dpts:2306:2802
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:27015:27040 state NEW
    0     0 ACCEPT     udp  --  ens3   *       0.0.0.0/0            10.7.0.3             udp dpts:27015:27040
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:27015:27040 state NEW
    0     0 ACCEPT     tcp  --  ens3   *       0.0.0.0/0            10.7.0.3             tcp dpts:27015:27040
    0     0 ufw-reject-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-track-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ufw-after-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-after-logging-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-reject-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ufw-track-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0

root@26506:~#

Как сделать проброс пакетов без подмены адреса отправителя?

root@26506:~# iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 107 packets, 17086 bytes)
 pkts bytes target     prot opt in     out     source               destination
   66  3498 DNAT       udp  --  *      *       0.0.0.0/0            195.19.192.44        udp dpts:2306:2802 to:10.7.0.3
    0     0 DNAT       udp  --  *      *       0.0.0.0/0            195.19.192.44        udp dpts:27015:27040 to:10.7.0.3
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            195.19.192.44        tcp dpts:27015:27040 to:10.7.0.3

Chain INPUT (policy ACCEPT 18 packets, 1104 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 50 packets, 3550 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 50 packets, 3550 bytes)
 pkts bytes target     prot opt in     out     source               destination
   66  3498 MASQUERADE  udp  --  *      *       0.0.0.0/0            10.7.0.3             udp dpts:2306:2802
    0     0 MASQUERADE  udp  --  *      *       0.0.0.0/0            10.7.0.3             udp dpts:27015:27040
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            10.7.0.3             tcp dpts:27015:27040
    0     0 MASQUERADE  all  --  *      ens3    0.0.0.0/0            0.0.0.0/0
    0     0 SNAT       all  --  *      *       10.7.0.0/24         !10.7.0.0/24          to:195.19.192.44
root@26506:~#

Можно ли поднять несколько соединений с серверами Wireguard из Windows?

Разобрался с ошибкой... дело было в /32, а хочет /24

Можно ли поднять несколько соединений с серверами Wireguard из Windows?

Ну ключи, предполагаю, можно прописать клиентские (один) на все сервера.... А вот двойной интерфейс как поднять? Где вычитать

Можно ли поднять несколько соединений с серверами Wireguard из Windows?

Интересное решение... НО.


Проблема явно в том, что при создании подключений, создается только один интерфейс (при этом с одним ключем)
Как же плохо, что документация на WG ни какая