Настройка iptables для Wireguard

0

1

Помогите разобраться с настройками iptables. У меня есть правила:

PostUp = iptables -I INPUT -p udp --dport 22850 -j ACCEPT
PostUp = iptables -I FORWARD -i ens192 -o VPN -j ACCEPT
PostUp = iptables -I FORWARD -i VPN -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
PostDown = iptables -D INPUT -p udp --dport 22850 -j ACCEPT
PostDown = iptables -D FORWARD -i ens192 -o VPN -j ACCEPT
PostDown = iptables -D FORWARD -i VPN -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE

При поднятом интерфейсе route -n выглядит так:

|Destination  |   Gateway     |   Genmask       |  Flags Metric Ref | Use Iface  |                   
|-------------|---------------|-----------------|-----------------  |            |
|0.0.0.0      |   185.121.15.1|   0.0.0.0       |  UG    0      0   |  0 ens192  |             
|10.93.124.0  |   0.0.0.0     |   255.255.255.0 |  U     0      0   |  0 VPN     |            
|185.121.15.0 |   0.0.0.0     |   255.255.255.0 |  U     0      0   |  0 ens192  |

Клиент подключается, но нет выхода в интернет, если смотреть на трафик, то отправка от клиента к серверу идёт, а получения нет. Не могу понять в чём дело. Параметр net.ipv4.ip_forward = 1 поставил, но это вопрос не решило. Версия ubuntu 22, сеть настроена через ifupdown, ufw выключен. В настройках iptables никаких записей нет кроме тех, что выше описаны.

На старом сервере, который ещё на 20й убунте был, там всё ок работало, но посмотрел роуты выглядит одинаково и конфиги тоже оттуда были взяты.

Есть мысли куда копать?

UPD: Причина была в блокировках, разобрался, решение оставлю «за кадром»

←	Не поднимается соединение l2tp+ipsec на debian(accel-ppp + strongswan)

xargs c опцией -I

→

Отформатируй нормально, тогда поможем
www.linux.org.ru/help/lorcode.md
www.linux.org.ru/help/markdown.md

Kolins ★★★★★
(01.11.24 13:43:31 MSK)

Ответ на: комментарий от Kolins 01.11.24 13:43:31 MSK

поправил, добрый человек) Теперь можно надеяться на помощь?)

MostovoyBogdan
(01.11.24 14:15:40 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 14:15:40 MSK

Поправь в /etc/sysctl.conf:

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

И sysctl -p после, чтобы применить.

beastie ★★★★★
(01.11.24 15:09:17 MSK)

Ответ на: комментарий от beastie 01.11.24 15:09:17 MSK

Они уже в таком положении.

ipv6 не нужен, я его даже не использую и правил для него нет.

MostovoyBogdan
(01.11.24 15:11:23 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:11:23 MSK

У меня только, и работает:

PostUp = iptables -t nat -A POSTROUTING -o enp6s0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o enp6s0 -j MASQUERADE

beastie ★★★★★
(01.11.24 15:13:16 MSK)

Ответ на: комментарий от beastie 01.11.24 15:13:16 MSK

Поставил, но не пошло дело. Соединение есть, но в интернет не пускает.

UFW отключен.

Параметры из ядра тоже поставил, куда ещё копать, ума не приложу.

MostovoyBogdan
(01.11.24 15:20:35 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:20:35 MSK

Айпи вроде не в рф, но это точно так? А то тут вг давно не работает.

anonymous
(01.11.24 15:25:15 MSK)

Ответ на: комментарий от anonymous 01.11.24 15:25:15 MSK

По содержанию топика можно?

ВГ работает и замечательно, ибо резервный сервак ещё на ubuntu 20й сейчас спокойно функционирует

MostovoyBogdan
(01.11.24 15:27:54 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:27:54 MSK

Так ты ответь, клиент находится в рф?

anonymous
(01.11.24 15:29:53 MSK)

Ответ на: комментарий от anonymous 01.11.24 15:29:53 MSK

Клиент - да

Сервер - нет

MostovoyBogdan
(01.11.24 15:30:31 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 14:15:40 MSK

Покажи iptables-save

Kolins ★★★★★
(01.11.24 15:30:44 MSK)

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:30:31 MSK

Возьми amnezia wg клиент, на сервере ничего не меняй и проверь.

anonymous
(01.11.24 15:31:35 MSK)

Ответ на: комментарий от Kolins 01.11.24 15:30:44 MSK

Его нет. Выше команды описаны, правила создаются и после выключения удаляются.

Ну или я чего-то не понял, подскажи, как могу их посмотреть, заведомо считая, что файл такой я не делал.

MostovoyBogdan
(01.11.24 15:44:11 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:30:31 MSK

wireguard не работает в такой конфигурации уже пару месяцев как.

Dimez ★★★★★
(01.11.24 15:52:21 MSK)

Ответ на: комментарий от Dimez 01.11.24 15:52:21 MSK

В какой такой?

Ну с одного и того же мануала собираю сервак, один работает, второй нет.

Серьёзно?

MostovoyBogdan
(01.11.24 15:54:51 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:54:51 MSK

Серьёзно?

Серьезно. То, что один работает - просто повезло. И в любой момент может перестать работать, кстати.

anonymous
(01.11.24 15:55:59 MSK)

Ответ на: комментарий от anonymous 01.11.24 15:55:59 MSK

Так он и не один работает в том и дело.

Коллега, ближе к вопросу топика.

Истории с везением и теориям заговора направьте на почту РенТВ, они оценят.

MostovoyBogdan
(01.11.24 15:59:41 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:59:41 MSK

Истории с везением и теориям заговора направьте на почту РенТВ, они оценят.

Ок, я хотел помочь. Дело твое.

anonymous
(01.11.24 16:00:34 MSK)

Ответ на: комментарий от anonymous 01.11.24 16:00:34 MSK

А помощь в чём заключается?

В том, что - «тебе просто повезло»?)

Избавь, прошу.

MostovoyBogdan
(01.11.24 16:03:30 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:20:35 MSK

Так посмотри и покажи, что у тебя в iptables после подключения клиента.
Может у тебя forward по дефолту drop.

hbars ★★★★★
(01.11.24 16:17:03 MSK)

Ответ на: комментарий от MostovoyBogdan 01.11.24 15:54:51 MSK

Ну с одного и того же мануала собираю сервак, один работает, второй нет.

Они у тебя оба под кроватью стоят? Или в разных локациях на разном оборудовании у разных провайдеров?

Chord ★★★★
(01.11.24 16:28:59 MSK)
Последнее исправление: Chord 01.11.24 16:29:24 MSK (всего исправлений: 1)

Ответ на: комментарий от Chord 01.11.24 16:28:59 MSK

один и тот же образ работает на двух разных провайдерах, но в одной локации.

MostovoyBogdan
(01.11.24 16:34:48 MSK) автор топика

Ответ на: комментарий от hbars 01.11.24 16:17:03 MSK

target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp dpt:22850

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

MostovoyBogdan
(01.11.24 16:41:08 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 16:34:48 MSK

один и тот же образ работает на двух разных провайдерах

Образ? Образа в церкви. Если речь о серверах, и они находятся у разных провайдеров, то и фильтрующее оборудование у них может быть разное, чем и объясняется неработоспособность в случае с новым сервером (при том что со старым сервером работает)

Chord ★★★★
(01.11.24 16:42:35 MSK)

Ответ на: комментарий от Chord 01.11.24 16:42:35 MSK

Вот ты бы, как остришь, так же бы внимательно читал ответы.

Образ системы раскатан на двух разных хостерах, при этом оба работают.

С новым же какие-то проблемы из-за чего нет трафика между интерфейсом WG и (в моем случае ens192) который «свистит» в интернет.

MostovoyBogdan
(01.11.24 16:46:43 MSK) автор топика

Ответ на: комментарий от hbars 01.11.24 16:17:03 MSK

Вот ещё я tcpdump-ом интерфейс послушал:

listening on VPN, link-type RAW (Raw IP), snapshot length 262144 bytes
13:54:11.123452 IP 10.93.124.23.64791 > one.one.one.one.domain: 45959+ A? gateway.icloud.com. (36)
13:54:11.123592 IP 10.93.124.23.52228 > one.one.one.one.domain: 36478+ Type64? _dns.resolver.arpa. (36)
13:54:11.123710 IP 10.93.124.23.54764 > one.one.one.one.domain: 13739+ Type65? gsp85-ssl.ls.apple.com. (40)
13:54:11.124760 IP one.one.one.one.domain > 10.93.124.23.52228: 36478 2/0/4 Type64, Type64 (347)
13:54:11.124894 IP one.one.one.one.domain > 10.93.124.23.54764: 13739 1/1/0 CNAME gsp85-ssl.ls2-apple.com.akadns.

Меня смущает «one.one.one.one.domain»

MostovoyBogdan
(01.11.24 16:56:21 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 16:46:43 MSK

С новым же какие-то проблемы

У тебя ip похоже что испанский, если так, то твоя проблема в том, что wg-траффик за бугор глушат. А то, что старый сервер ещё работает - это не твоя заслуга, а чья-то недоработка. Сиди и радуйся втихаря, что хотя бы один работает.

Chord ★★★★
(01.11.24 16:56:43 MSK)

Ответ на: комментарий от Chord 01.11.24 16:56:43 MSK

будь добр, отправляйся ставить кому-нибудь детский мат в шахматах)

MostovoyBogdan
(01.11.24 17:00:08 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 16:46:43 MSK

т.е. WG работает, трафик в нем ходит в обе стороны и в AllowedIPs разрешены всё, а NAT не работает? там в «ubuntu 22» что главнее iptables или nftables?)

yandrey ★★
(01.11.24 17:18:24 MSK)

Ответ на: комментарий от yandrey 01.11.24 17:18:24 MSK

Так nftables разве не надстройка над iptables с целью упрощения синтаксиса и конфигурирования правил?

MostovoyBogdan
(01.11.24 17:20:07 MSK) автор топика

Ответ на: комментарий от yandrey 01.11.24 17:18:24 MSK

Ну тут у меня совсем ничего нет

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}

Может тут и надо настраивать тогда? Хммм

MostovoyBogdan
(01.11.24 17:22:51 MSK) автор топика

Ответ на: комментарий от MostovoyBogdan 01.11.24 16:56:21 MSK

Меня смущает «one.one.one.one.domain»

И почему же? Поставил DNS 1.1.1.1 (который обратно резолвится в one.one.one.one) и смущаешься.

Dimez ★★★★★
(01.11.24 19:42:21 MSK)

Ответ на: комментарий от MostovoyBogdan 01.11.24 16:46:43 MSK

Образ системы раскатан на двух разных хостерах, при этом оба работают.

Чувак, тебе говорят русским языком, что у того, у которого работает wg, ещё не установлены ТСПУ, а у того, у которого не работает wg, просто уже стоят. В скором времени будут стоять у всех…

Dimez ★★★★★
(01.11.24 19:46:39 MSK)

Ответ на: комментарий от MostovoyBogdan 01.11.24 17:20:07 MSK

Так nftables разве не надстройка над iptables

У меня для вас плохие новости, но вы можете продолжать думать что оно так, это не запрещено правилами этого ресурса.

anc ★★★★★
(01.11.24 21:00:33 MSK)

Ответ на: комментарий от Dimez 01.11.24 19:42:21 MSK

Я об этом не знал, потому и смущало.

MostovoyBogdan
(02.11.24 18:30:49 MSK) автор топика

←	Не поднимается соединение l2tp+ipsec на debian(accel-ppp + strongswan)

Admin

xargs c опцией -I

→

Похожие темы