Eu tenho uma máquina no AWS EC2 rodando Ubuntu 16.04 (B) com Wireguard rodando como servidor VPN para alguns dispositivos Road Warrior (C).
Vou tentar esboçar abaixo:
+-----+ +-----+ +-----+
| | ---------------------------> | | -------------------------> | |
| A | 172.30.0.5/16 172.30.0.6/16 | B | 10.70.0.1/24 10.70.0.2/32 | C |
| | ens5 eth0 | | wg0 wg0 | |
+-----+ +-----+ +-----+
Quero rotear o tráfego endereçado 10.70.0.0/24de (A) para (C) via (B).
Eu tentei seguir a configuração:
No hospedeiro (A):
ip route add 10.70.0.0/24 via 172.30.0.6
O grupo de segurança EC2 permite todo o tráfego de e para 172.16.0.0/12.
No hospedeiro (B):
sysctl -w net.ipv4.ip_forward 1
ufw allow from 172.16.0.0/12
ufw route allow out on wg0
iptables -t nat -A POSTROUTING -s 172.16.0.0/12 -o wg0 -j MASQUERADE
Verifiquei que o encaminhamento está habilitado para todas as interfaces conforme descrito aqui:https://askubuntu.com/a/923292
net.ipv4.conf.eth0.forwarding = 1
net.ipv4.conf.wg0.forwarding = 1
O grupo de segurança EC2 permite todo o tráfego de e para 172.16.0.0/12.
Eu até tentei DEFAULT_FORWARD_POLICY="ACCEPT"configurar /etc/default/ufw.
Não tenho ideia do que mais está faltando aqui, não consigo passar nenhum pacote. No host (B) iptablesnão vê nenhum pacote passando por sua FORWARDcadeia:
iptables -nv -L FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0