LINUX.ORG.RU
ФорумAdmin

wireguard, как заставить клиента использовать локальный bind

 , ,


0

1

День добрый. Есть сервер wireguard (ubuntu 22.04 server) в подсети 192.168.240.0/20, в этой же сети есть перенаправляющий bind. Клиент (на android) подключается к серверу wireguard и может пинговать узлы находящиеся в подсети 192.168.240.0/20. Не могу разобраться, как сделать чтоб клиент мог обращаться ко внутренним ресурсам сети по доменному имени через локальный bind. Подскажите пожалуйста в какую сторону копать.


Ответ на: комментарий от alex_sim

пробовал, не завилось. Либо может не правильно пробовал. /etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
DNS = 192.168.240.252, chel.npo
SaveConfig = true
PostUp = iptables -t nat -I POSTROUTING -o enp0s3 -j MASQUERADE
PreDown = iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE
ListenPort = 51820
PrivateKey = eJfvauCrrADLZV33

[Peer]
PublicKey = M/dvfFW3TQRB+JG9
AllowedIPs = 10.8.0.3/32
Tycoon
() автор топика
Ответ на: комментарий от Bers666

в приложении wireguard для android в поле DNS-серверы тоже пробовал прописывать ip локального bind, не работае.

Tycoon
() автор топика
Ответ на: комментарий от Tycoon

в приложении wireguard для android в поле DNS-серверы тоже пробовал прописывать ip локального bind, не работае.

Только что проверил, правда на виндовом клиенте, андроид уж больно неудобен в отладке нужна командная строка и кое какие инструменты, все работает! Проверяй фаервол, настройки бинда я сам давно не пользую bind, так что что то подсказать не могу.

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

Разобрался, оказывается в поле dns (в приложении на андройде) надо было по мимо ip прописать ещё название домена, т.е.: 192.168.0.252, chel.npo и всё заработало. Всем спасибо.

Tycoon
() автор топика
Ответ на: комментарий от alex_sim

В l2tp/IPSec, на android, там отдельно указывается в разных строках домен для поиска и отдельно ip dns сервера. А в клиенте wireguard просто написано dns-серверы, поэтому не сразу дошло … Что именно терзает? Chel это сокращенно от Челябинск.

Tycoon
() автор топика
Ответ на: комментарий от Tycoon

А в клиенте wireguard просто написано dns-серверы, поэтому не сразу дошло …

до wg на планшете не дошло еще, нету нужды, а вот OpenVPN Connect просто конвертировал конфиги в свой формат… удобно

Что именно терзает? Chel это сокращенно от Челябинск.

вот именно это и терзает, сам с деревни Челябинск

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

а ещё не много тупых вопросов из деревни. К тому же серверу подключаю микротик(в качестве клиента wireguard). Со стороны подсети микротика есть доступ в локальную подсеть сервер, а вот в обратку нет. Как сделать? Маршруты прописывать но компах в локалке сервера или как?

Tycoon
() автор топика
Ответ на: комментарий от Tycoon

К тому же серверу подключаю микротик(в качестве клиента wireguard).

OFF

А что микротик у тебя уже с 7 прошивкой стабильной (что за модель?) мои микроты не умеют еще WG так как прошивка 6 стабильная. потому на них OVPN поднят.

а вот в обратку нет. Как сделать?

Я повторюсь, проверяй фаервол ты же маскируешь, что то за интерфейсом явно не wg? А сервер то знает за чем искать сетку за микротом?

PostUp = iptables -t nat -I POSTROUTING -o enp0s3 -j MASQUERADE
PreDown = iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE

Этими правилами ты же прячешь за маской ( что то) как же в обратку то будет работать если это за натом. Ну и проверяй маршрут с сетки в сетку с микротом, есть ли такой? мне кажется явно нету, правила iptables как раз для доступа в одну сторону к сети. И ты их явно подтянул с примера не понимая сути.

Маршруты прописывать но компах в локалке сервера или как?

Если сервер WG является шлюзом по умолчанию, скорее всего оно так и есть, то достаточно маршрута до сети микрота на самом сервере, все бросается на маршрут по умолчанию, а сервер разберется куда бросать пакеты если настроишь маршрут.

Ну это так в общих чертах, не вдаваясь в подробности, ну и я не препод, косноязычен, сорри.

Сеть внутренняя, видимо песочница, но ключи не надо выкладывать.

alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от alex_sim

Я понял, разберусь сначала с MASQUERADE, да брал из примера, надо вникнуть может они действительно не нужный … Вообще то 7.5 Stable уже вышла, пока только домашний перевёл,тестирую. На работе всё ещё 6 стоит, но думаю надо уже потихоньку переводить. RB750Gr3 в основном.

Tycoon
() автор топика
Ответ на: комментарий от Tycoon

Вообще то 7.5 Stable уже вышла

Странно перед постом слазил на домашний микрот RB951-2n проверил обновление 6.49.6 последнее. Ждемс.

Тестовая 7.5

alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от alex_sim

Через веб рожу: System-Packages-Check For Updates Нужно изменить Channel на upgrade, тогда покажет что можно на 7.5 обновится. На офф сайте https://mikrotik.com/download написано «7.5 Stable».

Tycoon
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.