Проброс портов через туннель WireGuard

[Harry]

Помогите настроить конфигурацию.
Необходимо реализовать проброс портов через туннель WireGuard.

Имеется домашняя сеть. В ней находится компьютер с IP-адресом 192.168.100.31. К этому компьютеру должен быть обеспечен доступ из внешнего мира по RDP (порт 3389). Выход в интернет осуществляется через локальный IP-адрес.

Для решения задачи был арендован VPS, на котором развернута RouterOS. Туннель WireGuard работает исправно. Проброс портов к компьютеру в домашней сети реализован в два этапа:

1. От интерфейса eth1 маршрутизатора Router_VPS до интерфейса WG_Home маршрутизатора Router_Home.
2. От интерфейса WG_Home маршрутизатора Router_Home до компьютера Comp.

Для отправки ответов от компьютера Comp через туннель WireGuard было создано правило SNAT (ответы через WG-интерфейс).

Тем не менее, схема не функционирует. Предполагаю, что ответный трафик не направляется через туннель, и Router_Home пытается отправить его через шлюз по умолчанию.

[Chupaka]

1) Нужен ли маршрутизируемый доступ к порту 3389 не через WG? Если нет - то можно просто на домашнем роутере все пакеты с адреса 192.168.100.31 с порта 3389 отправить в тоннель.
1.1) Если надо схему усложнить - то через IP Firewall Mangle chain=forward помечать соединения из WG и отправлять ответку обратно в WG, как-нибудь так:

Код: Выделить всё

/ip fi mangle
add chain=forward in-interface=WG action=mark-connection new-connection-mark=from_WG
add chain=prerouting in-interface=Bridge1LAN dst-address-type=!local connection-mark=from_WG action=mark-routing new-routing-mark=таблица_с_дефолтным_маршрутом_через_WG

2) Убрать SNAT на WG-интерфейсах. Прописать на VPS маршрут к 192.168.100.0/Х через WG. В DNAT на VPS указать to-addresses=192.168.100.31.

Итого VPS должен пробрасывать порт на комп, маршрутизировать его в WG благодаря маршруту к локалке, а домашний роутер должен отправить ответный трафик обратно через WG на VPS.