LINUX.ORG.RU
решено ФорумAdmin

Не идет траффик через Wireguard на клиенте

 ,


0

2

Добрый день! Поставил на все устройства(клиент) WG. Дошло дело до ПК на Fedora, все установил, в гугле пишет, что IP меняется, но траффик не идет через WG интерфейс. Подскажите, куда копать, что проверить?


Немогу удалить юзера
Failed to connect to storage.bunnycdn.com port 21: Connection refused

смотри что у тебя в AllowedIPs прописано (WG) ну и маршруты, а почему вообще должно идти, но не идет? Каждые 3 дня наверно этот вопрос поднимается….

alex_sim ★★★★
()
Ответ на: комментарий от NyXzOr

Да, если вбить my ip, видно, что он меняется после wg-quick down wg0. Но при этом трафик не идет через WG т.к. сайты не открываются.

Вывод wg show

interface: wg0
  public key: kbQY5Vhlz4Jwlfy5qRqmDN5u6cy88tAFfNYYt1Gj6jA=
  private key: (hidden)
  listening port: 50404
  fwmark: 0xca6c

peer: yH4LuNSvGSykBG5K5OMH0aVnSelCytkM5VB3+rMEBSw=
  endpoint: **********
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 36 seconds ago
  transfer: 111.49 KiB received, 89.25 KiB sent

Вывод ip route

default via 192.168.0.1 dev wlp5s0 proto dhcp src 192.168.0.136 metric 600
192.168.0.0/24 dev wlp5s0 proto kernel scope link src 192.168.0.136 metric 600
milden
() автор топика
Ответ на: комментарий от milden

Теперь смотри на стороне сервера что там с фаерволом и тп.

И еще, не раблотает только в федоре? что показывает traceroute? на чем затык?

Вывод ip route

default via 192.168.0.1 dev wlp5s0 proto dhcp src 192.168.0.136 metric 600
192.168.0.0/24 dev wlp5s0 proto kernel scope link src 192.168.0.136 metric 600

А где устройство wg0? Где его IP они друг друга сервер и клиент fedora пингуют?

alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от alex_sim

Да, такая проблема только на федоре, на вин 11 и андроиде/ios все идет через Wireguard.

на чем затык?

затык на том, что при включении WG трафик не идет через него т.е. сайты, которые открываются на телефоне не работают.

что показывает traceroute?

traceroute medium.com                                                                                                                                                                                                      12:24:50 PM
traceroute to medium.com (188.186.146.207), 30 hops max, 60 byte packets
 1  10.76.12.1 (10.76.12.1)  59.640 ms  59.635 ms  59.631 ms
 2  * * *
 3  10.68.132.164 (10.68.132.164)  60.169 ms 10.68.132.162 (10.68.132.162)  59.720 ms 10.68.132.164 (10.68.132.164)  60.158 ms
 4  138.197.249.50 (138.197.249.50)  60.828 ms 138.197.249.56 (138.197.249.56)  60.981 ms 138.197.249.62 (138.197.249.62)  60.986 ms
 5  138.197.250.139 (138.197.250.139)  60.970 ms 138.197.250.153 (138.197.250.153)  60.807 ms 138.197.250.143 (138.197.250.143)  60.959 ms
 6  de-cix1.rt.act.fkt.de.retn.net (80.81.192.73)  65.714 ms  58.721 ms  58.707 ms
 7  ae10-117.RT.DL.MSK.RU.retn.net (87.245.234.178)  92.932 ms  198.003 ms  198.025 ms
 8  87.245.193.175 (87.245.193.175)  198.021 ms  198.018 ms  198.014 ms
 9  188x186x145x2.static.cc-perm.ertelecom.ru (188.186.145.2)  198.014 ms  198.010 ms  198.005 ms
10  188x186x145x5.static.cc-perm.ertelecom.ru (188.186.145.5)  198.005 ms  198.000 ms 188x186x145x1.static.cc-perm.ertelecom.ru (188.186.145.1)  197.990 ms
11  188x186x146x207.static.cc-perm.ertelecom.ru (188.186.146.207)  197.990 ms  197.977 ms  197.814 ms

А где устройство wg0?

Оно есть, но через него не идет трафик

Где его IP они друг друга сервер и клиент fedora пингуют?

Да, пинг идет, хендшейк тоже

milden
() автор топика
Ответ на: комментарий от milden

Да, пинг идет

Еще раз уточню с wg0 fedora на wg0 сервера? ну если все клиенты получают практически одинаковый конфиг, а упирается одна fedora, смотри фаервол федоры, что у тебя там разрешено, что нет для WG? смотри SELINUX….. отключи его, чтоб понять в чем затык, политики фаервола временно в ACCEPT тоже чтоб понять, где собака то порылась.

alex_sim ★★★★
()
Ответ на: комментарий от mx__ 
~ ❯ sudo wg-quick up wg0                                             
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add ********* dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a wg0 -m 0 -x
[#] wg set wg0 fwmark 51820
[#] ip -6 route add ::/0 dev wg0 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] nft -f /dev/fd/63
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63

~ ❯ ip ro show                                                    
default via 192.168.0.1 dev wlp5s0 proto dhcp src 192.168.0.136 metric 600
192.168.0.0/24 dev wlp5s0 proto kernel scope link src 192.168.0.136 metric 600
milden
() автор топика
Ответ на: комментарий от milden

Выше уже написали, нет маршрута по wg0. После поднятие wg0 трафик (в вашем случае весь) перенаправлятся на этот локальный wg0.

[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820

P.S. Я лично стараюсь не делать одинаковую сетку ( в ващем случае 0) в локалке и в туннеле, хотя это не критично, но для меня так путаницы меньше.

mx__ ★★★★★
()
Ответ на: комментарий от mx__ 
~ ❯ ip addr show                                                     
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp6s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 74:56:3c:63:83:ff brd ff:ff:ff:ff:ff:ff
3: wlp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 3c:e9:f7:de:78:44 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.136/24 brd 192.168.0.255 scope global dynamic noprefixroute wlp5s0
       valid_lft 6395sec preferred_lft 6395sec
    inet6 fe80::ee31:30b1:a61:17/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
6: vpn0: <NO-CARRIER,POINTOPOINT,MULTICAST,NOARP,UP> mtu 1434 qdisc fq_codel state DOWN group default qlen 500
    link/none
    inet6 fe80::9762:a64f:c362:9e46/64 scope link stable-privacy
       valid_lft forever preferred_lft forever
7: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet ******** scope global wg0
       valid_lft forever preferred_lft forever
milden
() автор топика
Ответ на: комментарий от milden

сам файл конфига?

нуда, клиента, типа wg0.conf

может как-то связано с /etc/resolv.conf?

Это там где у тебя ДНС, ну тут же весь трафик туда перенаправляется значит и ДНС туда пойдет.

так windows же пашет …

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от mx__ 
~ ❯ sudo cat /etc/wireguard/wg0.conf                                 
[Interface]
PrivateKey = ****
Address = ****
DNS = 8.8.8.8

[Peer]
PublicKey = *****
AllowedIPs = 0.0.0.0/0
Endpoint = *****

не, я про /etc/resolv.conf на самом клиенте, а не на серваке. Да, винда и остальные устройства норм работают

milden
() автор топика
Ответ на: комментарий от milden

ну я про клиента. В твоем случае dns гугла 8.8.8.8 и после поднятие туннеля этот адрес должен пинговаться (или хотя бы доступен по 53 портам)

Address = ****

Это зачем скрывать ? Он у тебя вроде с 0 сети …

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от mx__

Да, 8.8.8.8 пингуется, интернет есть, на любом сайте для проверки ip показывает ip сервера, но при этом, если открыть какой-нибудь https://www.quora.com/, то не работает. Просто загадка дыры…

milden
() автор топика
Ответ на: комментарий от milden

Я не понял ты что серый IP что ли звездами скрываешь? У меня

ip addr show wg1
20: wg1: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.8.100.1/24 scope global wg1
       valid_lft forever preferred_lft forever
alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от milden

И тут тоже что прячем? Еще один серый IP? У меня

[Interface]
PrivateKey = ***************************
Address = 10.8.100.9/32
MTU = 1450

И тогда серый 10.8.100.9 (клиента) пингует серый ip (сервера) 10.8.100.1 и наоборот. Я так не услышал пингует?

Если ты там скрываешь белые IP то я умываю руки скрывать надо только Endpoint = **** белый адрес к чему чепляесся (аля сервер)

alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 3)
Ответ на: комментарий от alex_sim

Ничего не скрываю, просто по привычке скрыл. Ну ip и ip, как это поможет

~ ❯ ip addr show wg0                                                
10: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.76.12.48/32 scope global wg0
       valid_lft forever preferred_lft forever
milden
() автор топика
Немогу удалить юзера
Admin
Failed to connect to storage.bunnycdn.com port 21: Connection refused