Как завернуть большой список подсетей в wireguard туннель?

iptables, network, routing, vpn, wireguard

0

1

Всем привет.

Как завернуть большой список подсетей (~4500) в wireguard туннель, а остальное пустить мимо? Ubuntu 16.04 & 20.04.

Добавлять всё это в AllowedIPs в /etc/wireguard/wg0.conf на клиенте плохой вариант, т.к. конфиг будет выглядеть ужасно, да и работать это будет наверняка медленно.

По части iptables хотелось бы использовать ipset, т.к. это должно быть производительно, но есть ещё и ip route add часть.

Может у кого есть что готовое или хорошее понимание предмета, чтобы помочь реализовать? Делал по их докам и не только (например так https://prudnitskiy.pro/2019/07/24/wireguard/), но что ни добавляю вручную даже единичное, всё равно не взлетает или я что-то упускаю. С AllowedIPs = 0.0.0.0/0 всё нормально работает.

Ссылка

←	как добавить +memory в /sys/fs/cgroup/portage/ ?

Скорость сети на сервере

→

Ты форвардишь пакеты, а правила почему-то только для mangle/OUTPUT

vel ★★★★★
(06.04.21 10:08:09 MSK)

Ответ на: комментарий от vel 06.04.21 10:08:09 MSK

ok я уберу этот рабочий пример т.к. он к вопросу отношения не имеет и походу отвлекает

vainkop1
(06.04.21 12:54:00 MSK) автор топика

Ссылка

Отвечаю на свой вопрос, возможно кому-то пригодится:

$ cat wg0.conf
[Peer]
PublicKey = SERVER_PUBLIC_KEY_HERE
Endpoint = SERVER_IP_HERE:51820
AllowedIPs = 0.0.0.0/0

[Interface]
PrivateKey = CLIENT_PRIVATE_KEY_HERE
Address = 10.8.0.2/32
Table=off

+

$ dig +short ifconfig.co
104.21.192.29
104.21.192.28

+

$ wg-quick up wg0
$ ip -4 route add 104.21.192.28/32 dev wg0
$ ip -4 route add 104.21.192.29/32 dev wg0

=

$ curl ifconfig.co

1.2.3.4 - внешний адрес vpn сервера!

$ curl -s https://api.myip.com | jq -r .ip

5.6.7.8 - внешний адрес локальной машины !

vainkop1
(06.04.21 13:22:52 MSK) автор топика
Последнее исправление: vainkop1 06.04.21 13:23:53 MSK (всего исправлений: 2)

Ответ на: комментарий от vainkop1 06.04.21 13:22:52 MSK

Раз тебе нужно машрутизировать целые сети, то достаточно маркировать этот трафик через -j MARK или -j SET --map-set --map-mark, а маркированный трафик маршрутизировать через отдельную таблицу.

Классический вариант для policy routing

Если vpn идет в интернет, то не забываем nat-ить исходящие пакеты

Тему «два провайдера» здесь обсуждают регулярно.

vel ★★★★★
(06.04.21 13:35:21 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	как добавить +memory в /sys/fs/cgroup/portage/ ?

Admin

Скорость сети на сервере

→

Похожие темы