Страница 1 из 1
Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 01:33
Echinus
Имеется mikrotik
100.100.100.100 - WAN
10.0.0.1 - LAN
Имеется компьютер в локальной сети с установленным на него Wireguard сервером
10.0.0.100:20000 (адрес:порт Wireguard сервера)
Из локальной сети Wireguard клиент без проблем подключается к 10.0.0.100:20000
Делаю на mikrotik dstnat порта 20000 через WAN интерфейс на 10.0.0.100:20000
Из внешней сети Wireguard клиент не подключается к 100.100.100.100:20000
Если делаю на mikrotik dstnat необходимого сервиса на компьютере в локальной сети через WAN интерфейс, из внешней сети сервис становится доступным.
В чём может быть загвоздка?
P.S. поднимать VPN на микротик не мой вариант.
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 08:34
xvo
В firewall у вас оно тоже разрешено?
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 10:33
Echinus
xvo писал(а): ↑08 окт 2022, 08:34
В firewall у вас оно тоже разрешено?
Не встречал ситуаций, когда для правила dstnat требовалось бы ещё какое-то дополнительное правило firewall. Подскажите, что конкретно необходимо разрешить?
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 10:45
xvo
Оно требуется всегда, просто в дефолтном firewall'е оно в неявном виде присутствует.
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.
В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 11:56
Echinus
xvo писал(а): ↑08 окт 2022, 10:45
Оно требуется всегда, просто в дефолтном firewall'е оно в неявном виде присутствует.
Так что это как раз таки достаточно частая "загвоздка", если в firewall вносились какие-либо изменения.
В общем виде нужно правило
/ip firewall filter add chain=forward action=accept connection-nat-state=dstnat connection-state=new
У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован. Т.е. dstnat согласно этому правилу разрешён.
Ранее этого правила хватало. Внутрь локальной сети проброшено несколько портов к разным хостам, которые сейчас без проблем работают. Проблема сейчас конкретно в пробросе Wireguard порта.
На всякий случай попробовал добавить ещё ваше правило, чтобы явно разрешить dstnat, но ожидаемо, ничего не изменилось.
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 12:00
xvo
Echinus писал(а): ↑08 окт 2022, 11:56
У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован.
Тогда логично, что другого правила не надо, и проблема в чем-то ещё.
Попробуйте другой порт, может быть у провайдера какой-то диапазон прикрыт.
И firewall на машине, которая wireguard-сервер.
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 12:26
Echinus
xvo писал(а): ↑08 окт 2022, 12:00
Echinus писал(а): ↑08 окт 2022, 11:56
У меня есть правило дропать весть входщий трафик на WAN, который не был dstnat'ирован.
Тогда логично, что другого правила не надо, и проблема в чем-то ещё.
Попробуйте другой порт, может быть у провайдера какой-то диапазон прикрыт.
Есть работающий проброс порта из этого диапазона до S3 сервера, так что и не в этом дело. Есть подозрение, что это какие-то особенности работы самого Wireguard, но конкретики в интернете найти не могу.
При проверке Firewall на компьютере с Wireguard сервером отключал, тоже не в этом дело.
Re: Проброс порта к серверу Wireguard внутри локальной сети
Добавлено: 08 окт 2022, 12:41
xvo
Нет там никаких особенностей.
Порт пробрасывается точно так же, как для любого другого сервиса.