Как правильно настроить маршрутизацию внешнего IP-адреса через туннель WireGuard? 

Привет! <br/><br/> У меня есть роутер Mikrotik с выделенным внешним IP-адресом, обозначим его как x.x.x.x, и внутренней сетью 192.168.88.0/24. В этой сети расположен сервер с IP 192.168.88.10, который предоставляет сервис на порту 80. На роутере настроено правило dstnat, перенаправляющее трафик с x.x.x.x:80 на 192.168.88.10:80. У меня также есть домен, например myservice.ru, который привязан к этому IP, и сервис доступен извне, всё работает корректно. <br/> На роутере поднят интерфейс WireGuard (сервер) с адресом 192.168.20.1. <br/><br/> Есть другой роутер (Keenetic) в другой квартире, на котором также настроен интерфейс WireGuard (клиент), и он подключен к Mikrotik с IP 192.168.20.2; у Keenetic имеется своя сеть 192.168.90.0/24. <br/><br/> WireGuard используется для соединения сетей, и клиенты обеих сетей видят друг друга. <br/><br/> У меня возник вопрос: когда я из подсети Keenetic пытаюсь получить доступ к сервису на myservice.ru, подключение осуществляется к внешнему адресу x.x.x.x через "внешний" интернет (через провайдера). Можно ли организовать так, чтобы соединение шло через WireGuard-туннель? <br/><br/> На Keenetic я настроил роутинг x.x.x.x через WireGuard, но это не срабатывает, поскольку Keenetic, похоже, видит IP x.x.x.x только на WAN-интерфейсе, а не на интерфейсе WireGuard. Как можно настроить взаимодействие между ними?
  • 15 сентября 2024 г. 16:03
Ответы на вопрос 3 
Чтобы организовать доступ к вашему серверу в сети 192.168.88.0/24 через WireGuard-туннель, вам нужно убедиться, что трафик направляется по правильному маршруту, а именно через интерфейс WireGuard. Для достижения этого можно воспользоваться следующими шагами:

### Шаг 1: Настройка роутинга на Keenetic

На роутере Keenetic вам нужно добавить маршрут для направления трафика, предназначенного для вашего внешнего IP-адреса `x.x.x.x`, через WireGuard-туннель. Это можно сделать следующим образом:

1. Зайдите в интерфейс управления Keenetic.
2. Откройте раздел **Настройки** > **Маршрутизация**.
3. Добавьте маршрут для внешнего IP, указывая его в качестве назначения и указывая интерфейс WireGuard в качестве выхода. Например:
   - Назначение: `x.x.x.x`
   - Маска: `255.255.255.255`
   - Шлюз: адрес WireGuard вашего Mikrotik (в данном случае `192.168.20.1`).
4. Убедитесь, что этот маршрут активирован.

### Шаг 2: Настройка NAT на Mikrotik

На роутере Mikrotik вам нужно убедиться, что происходит корректная маршрутизация трафика, который приходит через WireGuard:

1. Вам необходимо проверить, что у вас установлены корректные правила NAT. Если вы хотите, чтобы трафик на `x.x.x.x` перенаправлялся на ваш сервер, добавьте правило NAT с исходящим адресом интерфейса WireGuard.

   Пример правила:
   ```
   /ip firewall nat
   add chain=srcnat src-address=192.168.90.0/24 dst-address=192.168.88.10 action=masquerade
   ```

   Это позволит менять исходящий адрес на адрес вашего Mikrotik, когда трафик идет к внутреннему серверу.

### Шаг 3: Проверка правил брандмауэра

Убедитесь, что правила брандмауэра на вашем Mikrotik и Keenetic не блокируют трафик, проходящий через ваш WireGuard. Проверьте, что есть разрешающие правила для трафика между сетями.

### Шаг 4: DNS настройка (опционально)

Если требуется, добавьте DNS-запись для вашего домена `myservice.ru`, чтобы она указывала на внутренний IP-адрес `192.168.88.10` в сети Keenetic. Это позволит использовать доменное имя вместо IP-адреса.

### Шаг 5: Проверка

Проверьте, что маршрутизация настроена правильно, выполните ping до `x.x.x.x` и посмотрите, идет ли трафик через туннель. Если все настроено корректно, также попробуйте подключиться к вашему сервису, используя `myservice.ru`, и убедитесь, что он доступен.

Таким образом, при правильно настроенной маршрутизации и NAT, запросы из сети Keenetic к вашему сервису должны проходить через WireGuard-туннель, а не через "внешний" интернет.
На днс сервере в офисе с кинетиком прописать для myservice.com его внутренний адрес в сети 192.168.88.0/24
проброс порта так же сделать. только при обращении на IP внутри сети WG 
 по домену врят ли, разве что в HOST на ПК зашивать нужный IP
Похожие вопросы
    Показать ещё