sanuzb

Сейчас ситуация следующая. WG снес, поставил AmneziaWG. 1. Пир 10.8.5.2 - UZ роутер 2. Пир 10.8.5.1 - RU роутер. Оба подключены к одному контейнеру - amnezia-awg c интерфейсом amn0. На двух роутерах стоит галка "Использовать для выхода в интернет" Далее: # Включаю форвардинг echo 1 > /proc/sys/net/ipv4/ip_forward # Трафик от РФ роутера направляем через УЗ роутер ip rule add from 10.8.5.1 lookup 100 ip route add default via 10.8.5.2 table 100 # NAT — маскарадинг для трафика идущего через УЗ iptables -t nat -A POSTROUTING -s 10.8.5.1 -o wg0 -j MASQUERADE Трафик доходит до UZ роутера, но не возвращается обратно.... root@vm52384:~# docker exec -it amnezia-awg sh / # # Проверим что есть / # ip rule show 0: from all lookup local 32765: from 10.8.5.1 lookup 100 32766: from all lookup main 32767: from all lookup default / # ip route show table 100 default via 10.8.5.2 dev wg0 / # iptables -L FORWARD -n Chain FORWARD (policy ACCEPT) target prot opt source destinationACCEPT all – 0.0.0.0/0 0.0.0.0/0ACCEPT all – 10.8.5.0/24 0.0.0.0/0ACCEPT all – 10.8.5.0/24 0.0.0.0/0ACCEPT all – 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED / # Что посоветуете дальше? Межсетевой экран на UZ роутере:

Здравствуйте. Пытаюсь реализовать следующую схему: Keenetic (РФ) → VPS (Германия) → Keenetic (Узбекистан) → Интернет Цель: чтобы клиенты Keenetic в РФ выходили в интернет с IP узбекского провайдера. Оба роутера за NAT. 1. VPS (Ubuntu) Поднят WireGuard сервер Интерфейс: wg-uz Адрес: 10.77.0.1/24 Подключён клиент (роутер в Узбекистане) Handshake стабильный Пинг до клиента есть: ping -I wg-uz 10.77.0.2 Ответы приходят без потерь 2. Роутер в Узбекистане (Keenetic) Подключается к VPS как клиент (WireGuard1) IP: 10.77.0.2/32 Handshake есть, соединение стабильное NAT включён: ip nat Wireguard1 Default route через провайдера: ip route default FastEthernet0/Vlan2 Интернет с самого роутера работает нормально 3. Проверки На VPS: ping -I wg-uz 10.77.0.2 ✅ работает ping -I wg-uz 8.8.8.8 ❌ не работает curl --interface wg-uz ifconfig.me ❌ не работает При tcpdump видно: 10.77.0.1 → 8.8.8.8 ICMP echo request Но ответа нет Что уже пробовал Менял allow-ips на стороне Keenetic: 10.77.0.1 0.0.0.0/0 Добавлял статический маршрут до VPS через ISP Проверял NAT (он работает для локальных клиентов) Проверял firewall (явных блокировок нет) Пробовал менять security-level интерфейса Wireguard1 Что вызывает сомнение Похоже, что роутер: либо не выполняет NAT для трафика, пришедшего из WireGuard либо не возвращает ответ обратно в туннель Вопрос Как правильно настроить Keenetic в роли exit-ноды для WireGuard, если он сам является клиентом VPS (за NAT)? Конкретно интересует: Нужно ли включать «использовать для выхода в интернет» для WireGuard? Требуется ли отдельная настройка NAT/маршрутизации для трафика, пришедшего из туннеля? Поддерживает ли Keenetic (OS 5) вообще такую схему: входящий WG-трафик → NAT → выход в интернет Буду благодарен за пример рабочей конфигурации или указание, что в принципе в этой версии Keenetic это не реализуемо. Спасибо. P.S. Писал ИИ, бананами не бросаться.