Форвардинг портов через VPN (WireGuard)

Хотел бы услышать ответ на вопрос

Задавайте.

Стандартные вопросы: что, где, зачем, когда и почему? Описание мягко говоря ни о чем не сказало.

Подправил, отвечайте!

Надо что-бы был виден вебсервер извне (1.1.1.1)

Где поправил? Я не увидел. Никакого описания, где что должно быть, что как подключается и прочее. Если тебе понятно, другим не обязательно. Рисуй понятную схему.

И не забудь описать все способы, которые «пробовал но толку ноль».

ну продолжайте наблюдения и держите нас в курсе.

сервер WireGuard

У WireGuard нет понятия "сервер" или "клиент", все пиры равноправны.

Выходной интерфейс

На "клиенте", или на "сервере"? Да и какое это имеет отношение к вопросу?

Надо что-бы веб-сервер был виден извне.

Веб-сервер на выходном пире ("сервере"), в режиме прокси.

Собственно от wireguard ничего не требуется, достаточно на условном «сервере wireguard» настроить port forwarding, сделать это можно по любой инструкции по nft или iptables.

Нужна команда типа: nft add rule ip nat prerouting iif ens3 tcp dport 443 dnat to 192.168.30.0

https://ibb.co/RQYhMhz

Если для компа на который ты пробрасываешь порт Wireguard сервер является шлюзом, но достаточно сделать DNAT - перенаправление входного пакета с сетевого интерфейса wireguard на IP адрес компа.

Если у компа шлюз другой, то нужно либо на wireguard сервере ещё делать и SNAT.

Либо можно сделать первым способом, но ещё и проложить маршрут на компе куда пробрасывается порт до сети за Wireguard сервером.

Нарисуй схему сети с IP адресами и укажи IP адреса шлюзов.

Посмотрите здесь раздел Destination NAT: https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)

Настраивать нужно на VPS. Сам wireguard уже настраивает NAT, вам нужно добавить туда команду dnat примерно такую, как я написал в посте выше.

WireGuard является шлюзом, для выхода в интернеты

Надо на сервере с публичным интерфейсом установить и настроить reverse proxy. Apache httpd, nginx, haproxy, envoy — что-то из этого.

Ну это можно попробовать, но оно не подходит под мои задачи. Мне еще нужно обходить ограничения «опсосов»

ens3 (1.1.1.1)

Это ж DNS сервер от Cloudflare

Получается подключаться по прокси и выходить по прокси? Просто я хочу использовать VPN как файло обменик

ip дан к примеру, что-бы не публиковать свой

Нарисуй схему сети с IP адресами и укажи IP адреса шлюзов.

https://imgbb.com/RQYhMhz

Ясности это не дало.

Вот пример схемы сети: https://bugtraq.ru/library/books/secureweb/ch11/.keep/.11.gif

нарисуй в таком же стиле.

Wireguard сервер расположен на VPS с IP адресом 1.1.1.1?

Ты ставишь nginx на свой VPS 1.1.1.1. Браузер подключается к нему. nginx пытается соединиться с твоим сервером на 192.168.30.2 и пробрасывает соединение браузера на него, проксируя его и ответы.

Единственное, что тебе в этой схеме надо настроить, что может казаться не очевидным - у твоего внутреннего компьютера 192.168.30.2 нужно в настройках wireguard прописать persistent keepalive на 25 секунд.

Ты можешь использовать iptables forward, как тебе написали выше, но схема с реверс-прокси немного более гибкая, при необходимости ты сможешь передавать IP-адреса клиентов на свой внутренний сервер, если тебе это понадобится, с iptables это сделать не получится. Ну и для новичка на мой взгляд реверс-прокси настроить проще и понятней траблшутить.

https://i.ibb.co/b2jnWcD/sdasdadasdasdasdasd.png

У меня не пингуется локальный веб-сервер (192.168.30.2) оказывается, скорее всего отсюда вытекают все проблемы. Но так не должно быть WireGuard настроен без NAT и клиент должен быть доступен

Поправочка*, пинуется, но веб сервер не открывается (Timed Out) Проверял - curl -Is http://192.168.30.2 | head -1