NAT на другую подсеть через WireGaurd-тунель

[Артур3415]

Добрый день! Возникла такая проблемка.

 

Есть два кинетика

 

1) Первый имеет публичный IP: 123.123.123.123, локальную сеть 192.168.236.0/24

 

2) Второй имеет серый IP, локальную сеть 192.168.131.0/24

 

 

Оба роутера соединеные через WireGuard (123.123.123.123:51820).  Первый роутер выступает в качестве WireGuard сервера (IP:172.16.236.1), второй подключается к нему в качестве клиента (IP:172.16.236.2).

 

На обоих роутерах, соответсвенно прописаны маршути к сетям друг-друга. Вообщем сделано все по официальному гайду - https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

 

 

В сети второго роутера (клиент), работает Nextcloud (IP:192.168.131.11). У меня есть купленный домент, домент прописан на мой публичный IP что находится на первом роутере 123.123.123.123.

 

Соотвественно мне нужно через Port Forwarding отправить 80 и 443 порты на 192.168.131.11. Но это не работает так как после ответа сервер Nextcloud (IP:192.168.131.11) отправит ответ по default gateway. Так как NAT не сменил Source IP.

 

И ответ на браузера прийдет не с 123.123.123.123, а серого адреса вторго роутера.

 

Читал про про DNAT, но так и не понял как это правильно применить на CLI Keenetic(а).

 

 

Кто может - подскажите пожалуйста, буду очень признателен.

[Keen_VivaGiga]

(у меня аналогичная конструкция только без доменов/сайтов) учитывая то, что с недавних пор у меня перестал "Второй имеет серый IP" пускать в вебку клиентов из подсети первого - возможно проблема в прошивках (наблюдается после поднятия прошивки на "Первый имеет публичный IP" до 3,6,10, а второй никак не соберусь обновить)