Forum » Omrežja in internet » Wireguard routing problem
Wireguard routing problem
poweroff ::
Na Debian 11 sem namestil Wireguard, zgeneniral ključe in takle config:
Client config (telefon), je pa naslednji:
Povezava se vzpostavi, pingam lahko obe napravi (vsako iz svoje strani) - 10.10.10.1 in 10.10.10.2. Ampak če hočem s telefonom obiskati neko spletno stran, ne dela.
Zanimivo - tudi če na serverju poženem curl in hočem pogledati neko spletno stran, se tudi ne naloži (internet ne dela).
Še routing BREZ aktivnega WG:
In routing Z aktivnim WG:
Aja, IP forwarding imam seveda vključen:
[Interface] Address = 10.10.10.1/24 SaveConfig = true PostUp = iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -F POSTROUTING; iptables -t nat -I POSTROUTING -o ens3 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE ListenPort = 51194 PrivateKey = *** [Peer] PublicKey = *** AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 60
Client config (telefon), je pa naslednji:
[Interface] PrivateKey = *** Address = 10.10.10.2/24 DNS = 8.8.8.8, 1.1.1.1 [Peer] PublicKey = *** Endpoint = xx.xx.xx.xx:51194 AllowedIPs = 0.0.0.0/0
Povezava se vzpostavi, pingam lahko obe napravi (vsako iz svoje strani) - 10.10.10.1 in 10.10.10.2. Ampak če hočem s telefonom obiskati neko spletno stran, ne dela.
Zanimivo - tudi če na serverju poženem curl in hočem pogledati neko spletno stran, se tudi ne naloži (internet ne dela).
Še routing BREZ aktivnega WG:
ip ro show default via 10.0.2.1 dev ens3 onlink 10.0.2.0/24 dev ens3 proto kernel scope link src 10.0.2.9
In routing Z aktivnim WG:
ip ro show default via 10.0.2.1 dev ens3 onlink 10.0.2.0/24 dev ens3 proto kernel scope link src 10.0.2.9 10.10.10.0/24 dev wg0 proto kernel scope link src 10.10.10.1
Aja, IP forwarding imam seveda vključen:
sudo sysctl -p net.ipv4.ip_forward = 1
sudo poweroff
Voluharr ::
Ne dela curl na nek URL ali ne dela niti traceroute do IPja.
Kakšno imaš stanje z DNS strežniki v enem ali drugem primeru?
Kakšno imaš stanje z DNS strežniki v enem ali drugem primeru?
Backup, VPS, kolokacija: https://reavisys.si
poweroff ::
Na serverju v /etc/network/interfaces imam dns-nameservers 8.8.8.8
Ko zaženem WG ne dela niti curl na IP (se pravi ni problem DNS resolving). Tudi ping na zunanji IP ne dela.
Ko zaženem WG ne dela niti curl na IP (se pravi ni problem DNS resolving). Tudi ping na zunanji IP ne dela.
sudo poweroff
poweroff ::
INPUT, FORWARD in OUTUP imajo trenutno policy ACCEPT.
Forward ima še tole:
ufw je disablan.
Forward ima še tole:
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ufw je disablan.
sudo poweroff
poweroff ::
Ja, ja, WG ima drugačen koncept (peers, ne server-client), ampak recimo da je server v tem primeru tista žival, katere IP (erm, endpoint) je javno dosegljiv in fiksen.
Stvar semantike oz. mojega poimenovanja.
Vprašanje je še vedno zakaj promet ne gre naprej.
Stvar semantike oz. mojega poimenovanja.
Vprašanje je še vedno zakaj promet ne gre naprej.
sudo poweroff
Voluharr ::
Nimam preveč idej, ampak si že poskusil z odstranjevanjem rulov v PostUp ?
Backup, VPS, kolokacija: https://reavisys.si
poweroff ::
Načeloma ja, ampak ravno ti ruli mi naredijo forwarding podatkov med wg0 in ens3.
sudo poweroff
Voluharr ::
Nisem 100% ker nisem poskusil nastavit pri sebi.
Najprej spusti, da ti dejasnko promet spusti skozi z routingom, potem pa dodajaj rule, da ti naredi NAT.
Sigurno bi se moral najti kak template na netu, saj ne moreš biti prvi, ki bi poskusil to uredit.
Najprej spusti, da ti dejasnko promet spusti skozi z routingom, potem pa dodajaj rule, da ti naredi NAT.
Sigurno bi se moral najti kak template na netu, saj ne moreš biti prvi, ki bi poskusil to uredit.
Backup, VPS, kolokacija: https://reavisys.si
jhames ::
Jaz imam takole in dela:
wg0 je WireGuard interface, ip 192.168.50.1 (subnet 192.168.50.0/24)
eth0 LAN
ppp0 internet
start: ip link add dev wg0 type wireguard ... (ne uporabljam wg-quick) ... iptables -A FORWARD -i wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT; iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT ; iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.50.0/24 -j MASQUERADE stop: iptables -t nat -D POSTROUTING -o ppp0 -s 192.168.50.0/24 -j MASQUERADE ; iptables -D FORWARD -i eth0 -o wg0 -j ACCEPT ; iptables -D FORWARD -i wg0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ip link set wg0 down ...
wg0 je WireGuard interface, ip 192.168.50.1 (subnet 192.168.50.0/24)
eth0 LAN
ppp0 internet
NoName ::
A tele rule ti prav doda v chain? Enega imaš na začetek (-I), drugega pa dodaš na konec (-A)... a je pred njim kak rule, ki bi morebiti dropal promet? iptables -L ali morda iptables-save...
I can see dumb people...They're all around us... Look, they're even on this forum!
poweroff ::
Bom poskusil tole od jhamesa še.
Drugače pa ja, step 4 (ipfowd) imam, drugih iptables pravil (ali ufw) zaenkrat nimam.
Drugače pa ja, step 4 (ipfowd) imam, drugih iptables pravil (ali ufw) zaenkrat nimam.
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | iptablesOddelek: Omrežja in internet | 864 (517) | Bakunin |
| » | iptables problem z SSHOddelek: Omrežja in internet | 1912 (1766) | sverde21 |
| » | Linux CC kot router... problemOddelek: Operacijski sistemi | 1728 (1480) | kitarist |
| » | pomoč pri iptablesOddelek: Omrežja in internet | 2606 (2435) | HellRaiseR |
| » | iptables + forwardOddelek: Operacijski sistemi | 2331 (1906) | tx-z |