Ok, wenn man den „zero-trust“ Ansatz etwas auflockert (primär weil man über den Server-Container auch seinen Host exposen will) hat mir das hier geholfen: https://superuser.com/questions/1824728/how-to-proxy-requests-into-wg-easy-docker-container
Rezept 1:
sudo nano /etc/sysctl.conf # At the end of file you have to add next two lines net.ipv4.conf.all.src_valid_mark=1 net.ipv4.ip_forward=1 sudo sysctl -p sudo docker run -d \ --name=wg-easy \ -e WG_HOST=YOUR_IP_OR_DOMAIN \ -e PASSWORD=CHANGE_ME \ -v ~/.wg-easy:/etc/wireguard \ -p 51820:51820/udp \ -p 51821:51821/tcp \ --cap-add=NET_ADMIN \ --cap-add=SYS_MODULE \ --network host \ --restart unless-stopped \ ghcr.io/wg-easy/wg-easy
Rezept 2
sudo docker run -d \ --name=wg-easy \ -e WG_HOST=YOUR_IP_OR_DOMAIN \ -e PASSWORD=CHANGE_ME \ -e "WG_POST_UP=iptables -A FORWARD -i wg0 -j ACCEPT;iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 25565 -j DNAT --to-destination 10.8.0.2:25565" \ -e "WG_POST_DOWN=iptables -D FORWARD -i wg0 -j ACCEPT;iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; iptables -D PREROUTING -t nat -i eth0 -p tcp --dport 25565 -j DNAT --to-destination 10.8.0.2:25565" \ -v ~/.wg-easy:/etc/wireguard \ -p 51820:51820/udp \ -p 51821:51821/tcp \ -p 25565:25565 \ --cap-add=NET_ADMIN \ --cap-add=SYS_MODULE \ --sysctl="net.ipv4.conf.all.src_valid_mark=1" \ --sysctl="net.ipv4.ip_forward=1" \ --restart unless-stopped \ ghcr.io/wg-easy/wg-easy
Hat mich jetzt ja auch nur einen Nachmittag gekostet 🙂
Schreibe einen Kommentar