» »

Wireguard routing problem

Wireguard routing problem

poweroff ::

Na Debian 11 sem namestil Wireguard, zgeneniral ključe in takle config:

[Interface]
Address = 10.10.10.1/24
SaveConfig = true
PostUp = iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -F POSTROUTING; iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
ListenPort = 51194
PrivateKey = ***

[Peer]
PublicKey = ***
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 60


Client config (telefon), je pa naslednji:

[Interface]
PrivateKey = ***
Address = 10.10.10.2/24
DNS = 8.8.8.8, 1.1.1.1

[Peer]
PublicKey = ***
Endpoint = xx.xx.xx.xx:51194
AllowedIPs = 0.0.0.0/0


Povezava se vzpostavi, pingam lahko obe napravi (vsako iz svoje strani) - 10.10.10.1 in 10.10.10.2. Ampak če hočem s telefonom obiskati neko spletno stran, ne dela.

Zanimivo - tudi če na serverju poženem curl in hočem pogledati neko spletno stran, se tudi ne naloži (internet ne dela).

Še routing BREZ aktivnega WG:
ip ro show
default via 10.0.2.1 dev ens3 onlink 
10.0.2.0/24 dev ens3 proto kernel scope link src 10.0.2.9


In routing Z aktivnim WG:
ip ro show
default via 10.0.2.1 dev ens3 onlink 
10.0.2.0/24 dev ens3 proto kernel scope link src 10.0.2.9 
10.10.10.0/24 dev wg0 proto kernel scope link src 10.10.10.1 


Aja, IP forwarding imam seveda vključen:
sudo sysctl -p
net.ipv4.ip_forward = 1
sudo poweroff

Voluharr ::

Ne dela curl na nek URL ali ne dela niti traceroute do IPja.
Kakšno imaš stanje z DNS strežniki v enem ali drugem primeru?
Backup, VPS, kolokacija: https://reavisys.si

poweroff ::

Na serverju v /etc/network/interfaces imam dns-nameservers 8.8.8.8

Ko zaženem WG ne dela niti curl na IP (se pravi ni problem DNS resolving). Tudi ping na zunanji IP ne dela.
sudo poweroff

Voluharr ::

Kaj pravi pa status rulov za iptables ?
Backup, VPS, kolokacija: https://reavisys.si

poweroff ::

INPUT, FORWARD in OUTUP imajo trenutno policy ACCEPT.

Forward ima še tole:
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED


ufw je disablan.
sudo poweroff

Zimonem ::

Kaj naj bi bil server pri WG? Res me zanima.

poweroff ::

Ja, ja, WG ima drugačen koncept (peers, ne server-client), ampak recimo da je server v tem primeru tista žival, katere IP (erm, endpoint) je javno dosegljiv in fiksen.

Stvar semantike oz. mojega poimenovanja.

Vprašanje je še vedno zakaj promet ne gre naprej.
sudo poweroff

Voluharr ::

Nimam preveč idej, ampak si že poskusil z odstranjevanjem rulov v PostUp ?
Backup, VPS, kolokacija: https://reavisys.si

poweroff ::

Načeloma ja, ampak ravno ti ruli mi naredijo forwarding podatkov med wg0 in ens3.
sudo poweroff

Voluharr ::

Nisem 100% ker nisem poskusil nastavit pri sebi.
Najprej spusti, da ti dejasnko promet spusti skozi z routingom, potem pa dodajaj rule, da ti naredi NAT.
Sigurno bi se moral najti kak template na netu, saj ne moreš biti prvi, ki bi poskusil to uredit.
Backup, VPS, kolokacija: https://reavisys.si

jhames ::

Jaz imam takole in dela:

start:
ip link add dev wg0 type wireguard ... (ne uporabljam wg-quick)
...
iptables -A FORWARD -i wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT; iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT ; iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.50.0/24 -j MASQUERADE

stop:
iptables -t nat -D POSTROUTING -o ppp0 -s 192.168.50.0/24 -j MASQUERADE ; iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT ; iptables -D FORWARD -i wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip link set wg0 down
...



wg0 je WireGuard interface, ip 192.168.50.1 (subnet 192.168.50.0/24)
eth0 LAN
ppp0 internet

mzakelj ::

NoName ::

A tele rule ti prav doda v chain? Enega imaš na začetek (-I), drugega pa dodaš na konec (-A)... a je pred njim kak rule, ki bi morebiti dropal promet? iptables -L ali morda iptables-save...
I can see dumb people...They're all around us... Look, they're even on this forum!

poweroff ::

Bom poskusil tole od jhamesa še.

Drugače pa ja, step 4 (ipfowd) imam, drugih iptables pravil (ali ufw) zaenkrat nimam.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

iptables

Oddelek: Omrežja in internet
17877 (530) Bakunin
»

iptables problem z SSH

Oddelek: Omrežja in internet
121926 (1780) sverde21
»

Linux CC kot router... problem

Oddelek: Operacijski sistemi
141735 (1487) kitarist
»

pomoč pri iptables

Oddelek: Omrežja in internet
102619 (2448) HellRaiseR
»

iptables + forward

Oddelek: Operacijski sistemi
332341 (1916) tx-z

Več podobnih tem