Теперь весь трафик (кроме порта 22 и 51820) приходящий на внешний порт VPS перенаправляется в туннель WG и прилетает в Микротик, что, собственно, и требовалось в идеале. Я вижу это запустив в Микротике Torch. Внешние адреса приходят неизменённые.
Но теперь я не могу настроить отправку обратных пакетов. Они только приходят, и обратно не отправляются. Уже разные правила добавлял, ничего не помогло. Как правильно сделать?
По идее, этот site to site VPN можно делать не шифрованным, для снижения нагрузки на роутер? Трафик там всё равно шифрованный, до VDS, а далее он просто просовывается в роутер. Или я упускаю какой-то момент, и шифровать нужно?
А в целом можно эти все перенаправления и портов и доменов сделать на реверс прокси, это нормально будет? Или надо iptables задействовать?
Ага. Дельный совет (нет!).
Этот Wireguard на том же "мощном" RB5009 при канале 200 мегабит грузит проц на 70%. А три WG клиента кладут RB5009 на 100%.
WG работает чисто на CPU, никакой аппаратной поддержки. Так что для постоянного VPN с нагрузкой и на микротике - использовать категорически не стоит. Если так, время от времени подключится к домашней сети, один-два клиента, то вполне сгодится.
Для микротов выбирайте какой-нибудь ipsec.
rPman, слишком запарно про контрагентов. Я же сказал, отправляю свои сообщения сам себе, по факту. Одна система, автоматизированная, шлёт данные текстом, через смс о вещах которые не стоило бы читать никому. А интернет там постоянно рубят, единственный канал связи - sms.
Факт того, с кем я общаюсь и доверяю ли ПО - его ананимность меня вообще не интересует. Меня интересует только то, чтоб в автоматическом режиме какая-нибудь СОРМ не читала мои тексты и не срабатывала на триггеры. Дело ясное, что если тов. майор захочет что-то знать, он приедет и узнает, я сам ему скажу это, или не это. Тут дело в том, что я сразу узнаю, что мной интересуются, а не буду думать, что 10 лет я никому не нужен, пока досье потихоньку наполняется.
Ziptar, да. Я прекрасно понимаю. Если не останавливаться на первом предложении а дочитать до конца, то далее и написано "динамическом DNS". Но комментаторы не осилили второе предложение, а учитывая, что там суть, то есть сильные сомнения в их компетентности. Ну сами посудите, предлагать повесить почтовый сервак на DDNS, прикрутить к нему доменные имена, и всё это за NAT провайдера.., эх, стакими общаться, только время тратить.
P.S. И львиная доля провайдеров сидит на сетях Ростелекома, это Т2, Лайм, QWERTY, и другие. А Ростелеком: https://msk.rt.ru/care/internet/faq/pochemu-u-meny... , и этого для физ лиц не поменять, уже все саппорты обзвонил, это их политика. Тоже самое на производных Т2, Лайм, QWERTY...
Так что не надо мне рассказывать про DDNS и провайдеров без NAT, я изначально другой вопрос озвучивал.
P.P.S. Как раз таки QWERTY до недавнего времени был последним в моей локации, кто предоставлял открытые порты. Но с недавнего времени он "поменял инфраструктуру" и теперь все порты также закрыты как в Ростелекоме.
Потому, что мои сервера стоят у меня дома, и я не хочу их орендовывать у провайдера. Это Xpenology с видео/фотостанциями, мессенжером, почтовым сервером, умнвм домом, видеонаблюдением и кучей других сервисов, которые без выделенного адреса превратились в тыкву.
Просто думал притянуть статик ip vpnом, а есть другие способы? Я не знаю как лучше сделать.
SunTechnik, и товарищи, которые спрашивали "а зачем sms?" - отвечаю. Тогда, когда спрашивал, проблем небыло. В итоге сделал через интернет. Но вот уже 9 дней подряд в локации моего объекта правительство взяло правило ежесуточно отрубать интернет с 22:15 до 08:15. А иногда до 12:00-14:00. Ответ операторов сотовой связи: "ограничения введены не с нашей стороны, спасибо за понимание". Других средств связи в той локации впринципе нет. Работает только gsm голосовая связь и sms. Иногда, в некоторые ночи, вообще гасили всё, "доступные сети не найдены".
Короче, снова ищу sms шлюзы, с нормальным API для отправки любого текста.
Как это должно работать? Микротик встречает трафик, отправляет на другое устройство в локалке (на reverse proxy), а далее reverse proxy отсылает обратно на VPN Микротик и он раздаёт доступ к железкам внутри локальной сети?
AlexVWill, не думал, что раскидать сервисы по доменным именам, а не по портам, будет сложно для микротика. Пробовал reverse proxy который есть на Synology, стандартный, но он работает только с протоколом http, а трафика vpn не понимает.
Только по одной причине. Synology не позволяет задать имя пользователя как адрес email. В имени пользователя Synology запрещено использовать "@".
А МФУ, будь оно не ладно, именем пользователя считает только email, и ругается если задать иное, не принимает, пишет "Не верный формат адреса почты", для него адрес почты должен быть именем юзера.
Ну во-первых я знаю о существовании Телеграмм, e-mail, xmpp и прочих способах передачи сообщений. Но спрашиваю про sms, значит есть на то причины.
1. Крайне не стабильная связь в тех местах, интернет не поднимается, звонки голосом пропадают и зависают, но sms летают быстро и стабильно.
2. Телефон абонента, которому нужно понять, что у него электричество отключилось и ИБП котла хватит на 5 часов, может принять только SMS, так как это старая кнопочная звонилка. Да, новый самсунг у него есть, но он пошлёт далеко и на долго любого, кто попробует заставить его им пользоваться, а те, кто предложит тариф с абонентской платой или вообще тариф дороже 50р в месяц - получат дополнительных советов.
3. Также есть второй шлюз, являясь семейным, принимает всякие мусорные смс от любых сервисов, магазинов, банков, и пересылает их по другому каналу (интернет мессенжер) всем, кому приказано. Например магазин "Мираторг" или "Спар", а также детский мир и ещё некоторые профильные, типа "Мир шитья"..., для списания бонусов просят прислать код из смс. Мы не имеем привычки ставить десятки приложений от всяких торгушек и прочих, а также нет желания оставлять свои личные номера каждой такой торгушке, поэтому есть один спам номер, которым пользуются все члены семьи.
Да и вообще, какая разница зачем и почему? Есть такой канал связи как SMS, и мне нужно использовать его. У магазинов и торговых сетей, банков, тоже спрашиваете нафига они смс шлют, есть же телеграмм?
Я бы даже сказал до 5 юзеров. Так как на одного юзера можно создавать множество различных мэйлов в пределах одного домена или даже не одного домена.
А если использовать не mail plus, а просто mail server, то там вообще нет ограничений. Но он, вроде как, заброшен и больше не обновляется.
У нас распространённые напряжения 5, 12, 19 и 24В. 5 вольт можно, но ток большой, в результате нужен кабель в котором меди по больше. Да и транзисторы на ток по больше. И даже если это сделал производитель, потом в какой-то момент юзер заменит оригинальный БП с оригинальным кабелем на левую подделку и начнутся проблемы, и эти проблемы, как правило, посыпятся не на производителя неоригинального источника питания, а на производителя роутера. А оно надо? По этой причине просчитывают запас и не играют с "миллиметрами" в сечении кабеля и "миллиамперами" в источнике питания.
Есть ещё один подвох, о котором провайдеры молчат. У меня в доме Онлайм, Акадо, МГСТ. Старик IP дал только Онлайм. А потом выяснилось, что порт 80, 443 и 25 они все равно не откроют физические лицу. Вот так. А у меня Synology, свой почтовый сервер, свой сайт-портал...
Начал копать тут: https://www.reddit.com/r/selfhosted/comments/qr4tb...
Потом это: https://github.com/mochman/Bypass_CGNAT
В итоге добавил в конфиг wg такое:
Теперь весь трафик (кроме порта 22 и 51820) приходящий на внешний порт VPS перенаправляется в туннель WG и прилетает в Микротик, что, собственно, и требовалось в идеале. Я вижу это запустив в Микротике Torch. Внешние адреса приходят неизменённые.
Но теперь я не могу настроить отправку обратных пакетов. Они только приходят, и обратно не отправляются. Уже разные правила добавлял, ничего не помогло. Как правильно сделать?