Wireguard клиенты

0

1

Можно ли в wireguard на клиентах использовать конфиги с одинаковыми ключами, но разными ip?

Ссылка

←	OPNsense блокирует некоторые подключения c одного ип

почему sed отрабатывает не так как ожидаю

→

Конфиги с одинаковыми ключами использовать в принципе нельзя, потому что весь роутинг внутри WireGuard построен исходя из того, что ключ однозначно идентифицирует клиента.

intelfx ★★★★★
(17.08.24 13:29:32 MSK)

Нет.

kostik87 ★★★★★
(17.08.24 13:42:18 MSK)

Ссылка

Можно, но есть один момент.

Если оба одновременно, то работать будет тот, ip которого имеет текущую запись на сервере. Это же относится и к поддержанию кипэлайв, кто значится в системе, тот и работает. Если тыкать одновременно запросы, то работает то на одном, то на другом со сбоями.

Такие проблемы не возникают, если работа таких клиентов не является одновременной.

AlexZander
(17.08.24 18:26:30 MSK)
Последнее исправление: AlexZander 17.08.24 18:33:28 MSK (всего исправлений: 6)

Ответ на: комментарий от intelfx 17.08.24 13:29:32 MSK

Интересно, поэтому warp работает? Он ключи выдает разные, в ip адрес туннеля одинаковый у всех. Или там что-то ещё есть? Как считаете?

ЗЫ. Вопрос не конкретно Вам, а к тем кто зайдёт в топик.

NyXzOr ★★★★
(17.08.24 18:59:37 MSK)

Ссылка

Ответ на: комментарий от intelfx 17.08.24 13:29:32 MSK

Тогда почему это не работает:

network:
  version: 2
  tunnels:
    wg0: #server
      mode: wireguard
      addresses:
        - 10.1.1.254/24
        - "fd42:42:44::254/64"
      key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
      port: 6666
      optional: true
      peers:
        - keys: #me dell
            public: xQQ6TG0lUAh9dUVqlw0ovqElABScdY/oldffKoTMWEw=
          allowed-ips:
            - 0.0.0.0/0
            - ::/0
            - 10.1.1.15/32
            - fd42:42:44::15/128
        - keys: #kazik
            public: 7r80Ppa45LZCbg/jTJ4yC5e0oa5madSWqy5yCh9AJF4=
          allowed-ips:
            - 0.0.0.0/0
            - ::/0
            - 10.1.1.14/32
            - fd42:42:44::14/128
        - keys: #sasha
            public: yPYXxMIMqWoSsP6KdrJPXshrbZ3X23xK8Tzwt3ecGyQ=
          allowed-ips:
            - 0.0.0.0/0
            - ::/0
            - 10.1.1.17/32
            - fd42:42:44::17/128

Получается что работает только первый.

interface: wg0
  public key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  private key: (hidden)
  listening port: 6666
  fwmark: 0x42

peer: xQQ6TG0lUAh9dUVqlw0ovqElABScdY/oldffKoTMWEw=
  endpoint: [2001:470:1f0b:19da::1]:33606
  allowed ips: fd42:42:44::15/128, 10.1.1.15/32, ::/0, 0.0.0.0/0
  latest handshake: 20 seconds ago
  transfer: 410.07 KiB received, 3.24 MiB sent

peer: 4U9Rpjpu3vAMvFsG8K4Sv2vQkV12y4hQe/ww5HBq4mI=
  allowed ips: fd42:42:44::11/128, 10.1.1.11/32

peer: Ex6vIW2LEB5DlRUUhjEU4MENzTBCuLrUk/YPO11+uwM=
  allowed ips: fd42:42:44::10/128, 10.1.1.10/32

Почему остальным не прописывается ::/0, 0.0.0.0/0?
Или я нихрена не понимаю и все написал не так, и делать нужно по другому.

hbars ★★★★★
(18.08.24 01:03:37 MSK) автор топика

Ответ на: комментарий от AlexZander 17.08.24 18:26:30 MSK

Такие проблемы не возникают, если работа таких клиентов не является одновременной.

Да. Но если они подключаются с разных ip, и в конфигах тоже разные ip. Только ключи одинаковые.

hbars ★★★★★
(18.08.24 01:06:15 MSK) автор топика

Ссылка

Ответ на: комментарий от hbars 18.08.24 01:03:37 MSK

Почему остальным не прописывается ::/0, 0.0.0.0/0?

O_o

А чего ты вообще пытаешься этим добиться? Allowed IPs работает в обе стороны. Мало того что ты вписал туда нулевую маску (т. е. по сути присвоил пиру «все адреса»), так ещё и присвоил «все адреса» всем пирам одновременно.

И то, и другое — бессмыслица.

Т. е. при попытке отправить любой пакет с интерфейса туннеля он должен уйти… какому из пиров? Из твоей конфигурации получается, что всем одновременно. Но так не бывает.

Не говоря уже о том, что после 0.0.0.0/0 добавлять в этот список любые другие адреса концептуально бессмысленно, т. к. пустая маска включает в себя все адреса. Из этого делаю вывод, что ты скорее всего неправильно понимаешь смысл этой настройки.

intelfx ★★★★★
(18.08.24 01:17:21 MSK)
Последнее исправление: intelfx 18.08.24 01:29:19 MSK (всего исправлений: 4)

Ответ на: комментарий от intelfx 18.08.24 01:17:21 MSK

Почему остальным не прописывается ::/0, 0.0.0.0/0?

А чего ты вообще пытаешься этим добиться? Allowed IPs работает в обе стороны. Мало того что ты вписал туда нулевую маску (т. е. по сути присвоил пиру «все адреса»), так ещё и присвоил «все адреса»*всем пирам одновременно*.

И то, и другое — бессмыслица.

Ну задумка была такая что-бы несколько клиентов могли подключаться к серверу и ходить через него в инет. Поэтому и ::/0, 0.0.0.0/0.
С первой записью в конфиге работает. У остальных отсекается ::/0, 0.0.0.0/0.

hbars ★★★★★
(18.08.24 01:57:52 MSK) автор топика
Последнее исправление: hbars 18.08.24 02:27:04 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от intelfx 18.08.24 01:17:21 MSK

Поспал. Утром понял.
То что мне нужно получится только с одним пиром.

hbars ★★★★★
(18.08.24 11:01:12 MSK) автор топика

Ссылка

Все работает.
Сам дурак. Я просто думал что на стороне сервера тоже нужно всем прописывать ::/0, 0.0.0.0/0.
Только mtu на пирах нужно меньше 1420. У меня mtu 1384 работает замечательно.
Никакие шаманства с mtu в iptables не помогли.
Может потому-что у меня ipv6 тоже через туннель.
Тема закрыта.