У меня есть одна машина в AWS EC2 под управлением Ubuntu 16.04 (B) с Wireguard, работающим в качестве VPN-сервера для некоторых устройств Road Warrior (C).
Попробую набросать ниже:
+-----+ +-----+ +-----+
| | ---------------------------> | | -------------------------> | |
| А | 172.30.0.5/16 172.30.0.6/16 | Б | 10.70.0.1/24 10.70.0.2/32 | С |
| | ens5 eth0 | | WG0 WG0 | |
+-----+ +-----+ +-----+
Я хочу маршрутизировать трафик, адресованный 10.70.0.0/24 из (А) в (С) через (В).
Я пробовал следующую конфигурацию:
На хосте (А):
ip маршрут добавить 10.70.0.0/24 через 172.30.0.6
Группа безопасности EC2 разрешает весь входящий и исходящий трафик 172.16.0.0/12.
На хосте (B):
sysctl -w net.ipv4.ip_forward 1
ufw разрешить от 172.16.0.0/12
ufw маршрут разрешить на WG0
iptables -t nat -A POSTROUTING -s 172.16.0.0/12 -o wg0 -j MASQUERADE
Я проверил, что переадресация включена для всех интерфейсов, как описано здесь: https://askubuntu.com/a/923292
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.wg0.forwarding = 1
Группа безопасности EC2 разрешает весь входящий и исходящий трафик 172.16.0.0/12.
я даже пробовал ставить DEFAULT_FORWARD_POLICY="ПРИНЯТЬ" в /etc/по умолчанию/ufw.
У меня нет идей, чего еще здесь не хватает, я не могу пропустить пакеты. На хосте (Б) iptables не видит никаких пакетов, проходящих через его ВПЕРЕД цепь:
iptables -nv -L ВПЕРЕД
Цепочка FORWARD (политика ACCEPT 0 пакетов, 0 байт)
pkts bytes target prot opt in out source target
0 0 ufw-before-loging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-log-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0
