<div dir="ltr">Ivan,<div><br></div><div>sorry for the formatting, it seemed right on my email editor (gmail).</div><div>I cannot do SNAT at the source because the packet would be dropped if it didn't come from the actual IP of the VM.</div><div>So I am doing SNAT at the destination. why do you say I am doing it wrong?</div><div>I know it would be ideal to do it at the source, but should it work when done at the destination?</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Thanks,<div>Raffaele</div><div><br></div><div>Raffaele Spazzoli</div><div>Senior Architect - <a href="https://www.openshift.com" target="_blank">OpenShift</a>, <a href="https://www.redhat.com/en/services/consulting/paas" target="_blank">Containers and PaaS Practice</a></div><div>Tel: +1 216-258-7717</div><div><br></div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Mon, Sep 17, 2018 at 5:16 AM, Ivan Labáth <span dir="ltr"><<a href="mailto:labawi-wg@matrix-dream.net" target="_blank">labawi-wg@matrix-dream.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sun, Sep 16, 2018 at 07:08:58PM -0400, Raffaele Spazzoli wrote:<br>
</span><span class="">> sh-4.2# iptables -t nat -n -L Chain PREROUTING (policy ACCEPT) target prot<br>
> opt source destination Chain INPUT (policy ACCEPT) target prot opt source<br>
> destination SNAT udp -- 10.128.2.10 <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> udp dpt:5555 to:<br>
> <a href="http://192.168.99.12:5555" rel="noreferrer" target="_blank">192.168.99.12:5555</a> SNAT udp -- 10.128.1.94 <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> udp dpt:5555 to:<br>
> <a href="http://192.168.99.14:5555" rel="noreferrer" target="_blank">192.168.99.14:5555</a> SNAT udp -- 10.130.0.136 <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> udp dpt:5555 to:<br>
> <a href="http://192.168.99.13:5555" rel="noreferrer" target="_blank">192.168.99.13:5555</a> SNAT udp -- 10.129.1.158 <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> udp dpt:5555 to:<br>
> <a href="http://192.168.99.15:5555" rel="noreferrer" target="_blank">192.168.99.15:5555</a> SNAT udp -- 10.131.0.199 <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> udp dpt:5555 to:<br>
> <a href="http://192.168.99.7:5555" rel="noreferrer" target="_blank">192.168.99.7:5555</a> SNAT udp -- 10.129.2.217 <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> udp dpt:5555 to:<br>
> <a href="http://192.168.99.6:5555" rel="noreferrer" target="_blank">192.168.99.6:5555</a> Chain OUTPUT (policy ACCEPT) target prot opt source<br>
> destination Chain POSTROUTING (policy ACCEPT) target prot opt source<br>
> destination<br>
<br>
</span><span class="">Please try to have no or reasonable line wrapping.<br>
<br>
If you are applying SNAT on your source node, you are setting<br>
the source address, which should be set to the reachable address<br>
for the replies to come to. In your case VIP.<br>
If you are setting it on the destination, you are IMO doing it wrong.<br>
<br>
Same thing applies to TCP and most typical protocol, nothing special<br>
about wireguard here.<br>
<br>
If you have a middlebox doing DNAT, it would normaly be expected<br>
for it or something else to do SNAT in the reverse direction.<br>
Or, if your node has both adresses assigned, then it might be<br>
a case of improperly set source address on outgoing packets<br>
(e.g. your routing might need tuning).<br>
<br>
Regards,<br>
Ivan<br>
</span>______________________________<wbr>_________________<br>
WireGuard mailing list<br>
<a href="mailto:WireGuard@lists.zx2c4.com">WireGuard@lists.zx2c4.com</a><br>
<a href="https://lists.zx2c4.com/mailman/listinfo/wireguard" rel="noreferrer" target="_blank">https://lists.zx2c4.com/<wbr>mailman/listinfo/wireguard</a><br>
</blockquote></div><br></div>