Перейти к содержанию
На форум требуются Авторы статей и полезных гайдов (с повышением до Модераторов). Обращаться в ЛС к DigneZzZ. Информация по клику в посте. ×
  • 0

Wireguard и локальная сеть за NAT

OlegSanych

Ответ от OlegSanych,

 Поделиться

Вопрос

OlegSanych Незнакомец

OlegSanych

Опубликовано
Опубликовано

Приветствую модераторов и авторов форума! Отдельная благодарность за труд и старания в создании такого замечательного ресурса и наполнению его весьма полезными материалами. 

Хочу обратится к вам за советом/помощью в решении следующей задачи:

Есть локальная сеть за NAT. Периметр сети закрытый, поэтому получение внешнего IP исключен, пограничный маршрутизатор неподконтролен. В локальной сети поднят железный сервер с Proxmox и разными сервисами на виртуалках и контейнерах. Для некоторых сервисов есть необходимость открыть доступ из интернет(почтовый сервер, web сервр, удаленный доступ и т.д.), т.е. пробросить, к примеру, 25, 80, 443, 3389 и т.д. порты. Каким лучше образом, по вашему мнению, реализовать задуманное?

Единственное, до чего у меня получилось додуматься это реализовать следующий стек:

VPS с Wireguard и статическим IP - > VM с Wireguard с настроенным iptables -> VM с сервисом, в качестве шлюза выступает VM с Wireguard и настроенным iptables. Данное решение работает, но очень топорно. Во-первых, очень долгий отклик при обращении из интернет, во-вторых, клиенты из локальной сети обращаются к сервису через интернет, а не напрямую.

Заранее благодарен! 

Ссылка на комментарий
Поделиться на другие сайты

5 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
  • Админы
DigneZzZ Знаток

DigneZzZ

Опубликовано
  • Админы
Опубликовано
В 24.07.2023 в 12:04, OlegSanych сказал:

Как-то так я себе это представляю. 

Сеть Wireguard.jpg

Вот цитаты с чатика, обсудили немного:

Цитата

𝔸𝕟𝕕𝕣𝕖𝕪, [24.07.2023 14:16]
По идее реализация правильная. А в чем суть проблемы ?

𝔸𝕟𝕕𝕣𝕖𝕪, [24.07.2023 14:18]
Ещё можно сделать второй бридж и в виртуалки пробросить вторую сетевую карту. Ну и внешний роутинг настроить не на всю локалку, а только через второй бридж для виртуалок.

Цитата

Andrey, [24.07.2023 14:41]
Проблема обращения пользователей на внешние адреса у меня решена двумя NS  и split dns
вся внутренняя зона 3 уровня приземлена на внутренний NS
вся зона второго уровня приземлена на внешний NS и на нём настроен split (например если MX  запрашивают из серой сети, резолвится как внутренний адрес)

зона второго уровня отдаётся  как вторичная на внутренний NS.

Andrey, [24.07.2023 14:45]
ну а остальную часть я бы оставил как есть, за исключением использования iptables.
моё личное убеждение, лучше использовать какой-нибудь pfsence и всё это разрулить на нём. 
всевозможные туннели он прекрасно умеет

Цитата

𝔸𝕟𝕕𝕣𝕖𝕪, [24.07.2023 15:32]
Если поднять внутренний днс сервер, то можно в нем прописать для домена локальный ip. И получиться, что по домену из локалки будет заходить напрямую без интернета.

 

Рекомендуемый хостер №1 - 4VPS.su (2Гб\с сервера) 

Рекомендуемый хостер №2 - AEZA.net (+15% к пополнению) 

Ссылка на комментарий
Поделиться на другие сайты
  • 0
  • Админы
DigneZzZ Знаток

DigneZzZ

Опубликовано
  • Админы
Опубликовано
В 17.07.2023 в 18:42, OlegSanych сказал:

Приветствую модераторов и авторов форума! Отдельная благодарность за труд и старания в создании такого замечательного ресурса и наполнению его весьма полезными материалами. 

Хочу обратится к вам за советом/помощью в решении следующей задачи:

Есть локальная сеть за NAT. Периметр сети закрытый, поэтому получение внешнего IP исключен, пограничный маршрутизатор неподконтролен. В локальной сети поднят железный сервер с Proxmox и разными сервисами на виртуалках и контейнерах. Для некоторых сервисов есть необходимость открыть доступ из интернет(почтовый сервер, web сервр, удаленный доступ и т.д.), т.е. пробросить, к примеру, 25, 80, 443, 3389 и т.д. порты. Каким лучше образом, по вашему мнению, реализовать задуманное?

Единственное, до чего у меня получилось додуматься это реализовать следующий стек:

VPS с Wireguard и статическим IP - > VM с Wireguard с настроенным iptables -> VM с сервисом, в качестве шлюза выступает VM с Wireguard и настроенным iptables. Данное решение работает, но очень топорно. Во-первых, очень долгий отклик при обращении из интернет, во-вторых, клиенты из локальной сети обращаются к сервису через интернет, а не напрямую.

Заранее благодарен! 

Привет

Попробуй схемой нарисовать, чтобы стало более понятно?

  • Лайк! 1

Рекомендуемый хостер №1 - 4VPS.su (2Гб\с сервера) 

Рекомендуемый хостер №2 - AEZA.net (+15% к пополнению) 

Ссылка на комментарий
Поделиться на другие сайты
  • 0
Igos_123RuS Экспериментатор

Igos_123RuS

Опубликовано
Опубликовано

я вот тоже не понял )))

у меня тоже есть сети и все за NAT прокинуты через L2tp между собой (через микрот (белый ip) со всеми маршрутами ) 

так же есть VPS с Wireguard и статическим IP и всё чётенько работает 

а если конечно отправлять все движухи по сети через VPS с Wireguard и статическим IP то наверное можно всплакнуть от времени реагирования 

Ссылка на комментарий
Поделиться на другие сайты
  • 0
OlegSanych Незнакомец

OlegSanych

Опубликовано
  • Автор
Опубликовано
В 18.07.2023 в 18:59, DigneZzZ сказал:

Привет

Попробуй схемой нарисовать, чтобы стало более понятно?

Как-то так я себе это представляю. 

Сеть Wireguard.jpg

Ссылка на комментарий
Поделиться на другие сайты
  • 0
OlegSanych Незнакомец

OlegSanych

Опубликовано
  • Автор
Опубликовано
В 20.07.2023 в 20:23, Igos_123RuS сказал:

я вот тоже не понял )))

у меня тоже есть сети и все за NAT прокинуты через L2tp между собой (через микрот (белый ip) со всеми маршрутами ) 

так же есть VPS с Wireguard и статическим IP и всё чётенько работает 

а если конечно отправлять все движухи по сети через VPS с Wireguard и статическим IP то наверное можно всплакнуть от времени реагирования 

Пограничный маршрутизатор мне неподконтролен. Нет ни статического IP, ни возможности прокинуть порты. Для этого мне и требуется Wireguard туннель.  

А что именно не понятно? Укажите, попробую обрисовать другими словами. 

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

Вы принимаете наши Условия использования, Политика конфиденциальности, Правила. А также использование Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

Яндекс.Метрика