Wireguard и Маршрутизация. Или почему все идет через интерфейс онного если он явялется «Сервером»

0

1

Привет лор. Столкнулся с проблемой, для некоторых возможно будет очевидной

Вот конфиг самого Wireguard'а, стянул из арчвики и поправил под себя. Но вот сегодня обнаружил, что весь трафик идет через интерфейс wg0 хотя не должен, на него должны приходить коннекты а не через него

[Interface]
Address = 10.13.0.1/24
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE
ListenPort = 51820
PrivateKey = 

[Peer]
PublicKey = 
AllowedIPs = 0.0.0.0/0

Настраивал это дело для того, чтобы ловить коннект клиента из инторнетов и получать доступ к своему Jenkins'у и т.д

Я не хочу чтобы wg0server был gateway'ем, только для подключений с клиентом, а весь другой трафик ходил через enp2s0

Ссылка

←	Разрешить присваивать только определенные IP!

Обход default route для QEMU/KVM

→

Есть подозрение на то, что WG выставил себе метрику нулевую, тем самым выше в приоритете чем enps0

Либо прописывает себя gateway'ем

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    202    0        0 enp2s0
10.7.0.0        0.0.0.0         255.255.255.0   U     202    0        0 enp2s0
10.13.0.0       0.0.0.0         255.255.255.0   U     0      0        0 wg0server

Deleted
(10.12.17 02:44:10 MSK)
Последнее исправление: Deleted 10.12.17 02:46:44 MSK (всего исправлений: 1)

Ссылка

Список маршрутов:

default dev wg0server table 51820 scope link 
default via 10.7.0.1 dev enp2s0 src 10.7.0.20 metric 202 
10.7.0.0/24 dev enp2s0 proto kernel scope link src 10.7.0.20 metric 202 
10.13.0.0/24 dev wg0server proto kernel scope link src 10.13.0.1 
broadcast 10.7.0.0 dev enp2s0 table local proto kernel scope link src 10.7.0.20 
local 10.7.0.20 dev enp2s0 table local proto kernel scope host src 10.7.0.20 
broadcast 10.7.0.255 dev enp2s0 table local proto kernel scope link src 10.7.0.20 
broadcast 10.13.0.0 dev wg0server table local proto kernel scope link src 10.13.0.1 
local 10.13.0.1 dev wg0server table local proto kernel scope host src 10.13.0.1 
broadcast 10.13.0.255 dev wg0server table local proto kernel scope link src 10.13.0.1 
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 
local ::1 dev lo proto kernel metric 256 pref medium
fe80::/64 dev enp2s0 proto kernel metric 100 pref medium
fe80::/64 dev enp2s0 proto kernel metric 256 pref medium
local ::1 dev lo table local proto kernel metric 0 pref medium
local fe80::b059:9a1f:b1ef:a357 dev enp2s0 table local proto kernel metric 0 pref medium
ff00::/8 dev enp2s0 table local metric 256 pref medium
ff00::/8 dev wg0server table local metric 256 pref medium

Deleted
(10.12.17 02:45:01 MSK)

sudo cast intelfx

Может что-то знаешь об этом, видел тебя в соседней теме с похожей проблемой

Deleted
(10.12.17 04:18:39 MSK)
Последнее исправление: Deleted 10.12.17 04:19:02 MSK (всего исправлений: 1)

Как ты поднимаешь/cтартуешь WireGuard?

anonymous_sama ★★★★★
(10.12.17 10:03:04 MSK)
Последнее исправление: anonymous_sama 10.12.17 10:03:33 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 10.12.17 04:18:39 MSK

AllowedIPs = 0.0.0.0/0

Ты себе сделал VPN шириной во всё адресное пространство IPv4.

Здесь указываются адреса, которые будут принадлежать твоей виртуальной сети. Т. е. это «allowed IPs» после расшифровки и декапсуляции, а не до. Или, если так угодно, это эквивалент policy в туннельном режиме IPsec; работать в «транспортном режиме» WG не умеет.

intelfx ★★★★★
(10.12.17 11:57:30 MSK)
Последнее исправление: intelfx 10.12.17 12:03:41 MSK (всего исправлений: 2)

Ответ на: комментарий от Deleted 10.12.17 02:45:01 MSK

default dev wg0server table 51820 scope link

автоматом wireguard не выставляет маршрут по умолчанию, он у тебя где-то прописан

vvviperrr ★★★★★
(10.12.17 12:35:48 MSK)

Ссылка

Ответ на: комментарий от anonymous_sama 10.12.17 10:03:04 MSK

wg-quick up wg0server

По аналогии отключается(вместо up - down)

Deleted
(10.12.17 14:39:50 MSK)

Ссылка

Ответ на: комментарий от intelfx 10.12.17 11:57:30 MSK

Спасибо, думал что секция Allowed IPS для клиента и его адреса

Deleted
(10.12.17 14:40:47 MSK)

Ссылка

Ответ на: комментарий от Deleted 10.12.17 02:45:01 MSK

Посмотрите ip rule, скорее всего какое-то правило заворачивает трафик в таблицу 51820

anc ★★★★★
(11.12.17 02:25:03 MSK)

Ответ на: комментарий от anc 11.12.17 02:25:03 MSK

51820 это порт wireguard'а

Решил проблему заменой 0.0.0.0/0 на 10.13.0.2/32 в секции [Peer]

Deleted
(11.12.17 13:43:33 MSK)

Ответ на: комментарий от Deleted 11.12.17 13:43:33 MSK

51820 это порт wireguard'а

Не только default dev wg0server table 51820 scope link

Решил проблему заменой 0.0.0.0/0 на 10.13.0.2/32 в секции [Peer]

Уже понял, что мой коментарий не помог бы :)

anc ★★★★★
(11.12.17 16:46:56 MSK)

Ответ на: комментарий от anc 11.12.17 16:46:56 MSK

Но появилась ещё одна проблема - на клиенте...

Deleted
(11.12.17 17:12:02 MSK)

Ссылка

Ответ на: комментарий от intelfx 10.12.17 11:57:30 MSK

На клиенте конфиг:

[Interface]
Address = 10.13.0.2/32
PrivateKey = 
DNS = 10.13.0.1

[Peer]
PublicKey = 
AllowedIPs = 10.13.0.1/32
Endpoint = IP:51820
PersistentKeepalive = 25

Маршруты:

default via 10.7.0.101 dev enp0s25 src 10.7.180.122 metric 202 
10.7.0.0/16 dev enp0s25 proto kernel scope link src 10.7.180.119 metric 100 
10.7.0.0/16 dev enp0s25 proto kernel scope link src 10.7.180.122 metric 100 
10.7.0.0/16 dev enp0s25 proto kernel scope link src 10.7.180.122 metric 202 
10.13.0.1 dev wg0 scope lin

Пингуется, например 8.8.8.8 но все остальное нет

Т.е только адреса

Догадка такова, если DNS строчку убрать оно будет работать, прав ли я?

UPD:

Все проблемы решил. Спасибо большое тебе

Deleted
(11.12.17 17:37:51 MSK)
Последнее исправление: Deleted 11.12.17 17:41:03 MSK (всего исправлений: 2)

Ответ на: комментарий от Deleted 11.12.17 17:37:51 MSK

Вот это конфиг к чему вообще? Что в нём делает директива DNS=? Ты в принципе понимаешь, чего ты хочешь достичь и как?

intelfx ★★★★★
(11.12.17 17:42:13 MSK)
Последнее исправление: intelfx 11.12.17 17:42:31 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 11.12.17 17:42:13 MSK

К клиенту. Да, уже разобрался

Deleted
(11.12.17 18:31:13 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Разрешить присваивать только определенные IP!

Admin

Обход default route для QEMU/KVM

→

Похожие темы