înregistrare Logare
Puncte:0
Nicolò avatar Server

WireGuard: 2 peer-uri client pe același server cu conexiune la Internet și redirecționare porturi

drapel de
Nicolò

Dragă comunitate ServerFault,

Am cumpărat recent un home-server. Nu am vrut să găzduiesc niciun conținut pe IP-ul meu de birou (1.1.1.1) și, prin urmare, am cumpărat un VPS OVH cu 4 IP-uri și am creat un tunel WireGuard pentru a folosi IP-ul VPS-ului ca IP homeserver.

OVH VPS trimite și toate porturile către serverul meu de acasă.

În prezent folosesc 2 din cele 4 IP-uri ale VPS-ului OVH (2.2.2.2) și (3.3.3.3).

Am creat două tuneluri WireGuard pe VPS pe subrețele diferite. Unul pe 10.0.0.0 și unul pe 10.1.0.0.

Scopul meu a fost să realizez o configurare astfel încât să ascult 10.0.0.2 s-ar rezolva la 2.2.2.2 și ascultând 10.1.0.2 s-ar rezolva la 3.3.3.3.

Acest lucru funcționează pentru primul tunel și pentru al doilea tunel atunci când rulați singuri AllowedIPs = 0.0.0.0/0.

Problema este că atunci când alergăm împreună AllowedIPs = 0.0.0.0/0 Conexiunea la internet se oprește.

Am încercat să schimb IP-urile permise ale WG1 la 10.1.0.0/24 dar atunci un WG1 nu are conexiune la internet funcțională.

Iată fișierele mele de configurare:

Server WG0 (OVH VPS):

[Interfață]
Adresa = 10.0.0.1/24
ListenPort = 51821
PrivateKey = {CENSORED}

### Client VPN
[Peer]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
AllowedIPs = 10.0.0.2/32

Server WG1 (OVH VPS):

[Interfață]
Adresa = 10.1.0.1/24
ListenPort = 51822
PrivateKey = {CENSORED}

[Peer]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
AllowedIPs = 10.1.0.2/32

Configurația IPTables a OVH VPS:

# Generat de iptables-save v1.8.7 pe marți, 31 mai, 15:25:37 2022
*filtru
:INPUT ACCEPT [1698:235639]
: FORWARD ACCEPT [1053:163056]
: ACCEPT IEȘIRE [1451:166474]
:f2b-sshd - [0:0]
COMMIT
# Finalizat marți, 31 mai, 15:25:37 2022
# Generat de iptables-save v1.8.7 pe marți, 31 mai, 15:25:37 2022
*nat
:ACCEPTAREA PRE-ROUTARE [435:15811]
:INPUT ACCEPT [428:15399]
: ACCEPT IEȘIRE [32:2255]
: POSTROUTING ACCEPT [119:6298]
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p udp -m udp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p udp -m udp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p udp -m udp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 3.3.3.3/32 -p tcp -m tcp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p tcp -m tcp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p udp -m udp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p udp -m udp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p tcp -m tcp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p udp -m udp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.1.0.2
-A POSTROUTING -s 10.0.0.2/32 -p tcp -m tcp -m multiport --sport 1000:51820 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p tcp -m tcp -m multiport --sport 51826:65534 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p tcp -m tcp -m multiport --sport 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p udp -m udp -m multiport --sport 1000:51820 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p udp -m udp -m multiport --sport 51826:65534 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p udp -m udp -m multiport --sport 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.1.0.2/32 -p tcp -m tcp -m multiport --sport 1000:51820 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p tcp -m tcp -m multiport --sports 51826:65534 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p tcp -m tcp -m multiport --sport 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p udp -m udp -m multiport --sport 1000:51820 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p udp -m udp -m multiport --sport 51826:65534 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p udp -m udp -m multiport --sport 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 3.3.3.3
COMMIT
# Finalizat marți, 31 mai, 15:25:37 2022

Configurație Homeserver WG0:

[Interfață]
PrivateKey = {CENSORED}
Adresa = 10.0.0.2/32

[Peer]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
Punct final = 2.2.2.2:51821
AllowedIPs = 0.0.0.0/0
#AllowedIPs = 10.0.0.0/24

Configurație Homeserver WG1:

[Interfață]
PrivateKey = {CENSORED}
Adresa = 10.1.0.2/32

[Peer]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
Punct final = 3.3.3.3:51822
AllowedIPs = 10.1.0.0/24

Cu curentul meu (lipit aici) o pot lega (de exemplu Apache2) la 10.0.0.2 și se rezolvă corect și permite oamenilor să acceseze serverul de la 2.2.2.2, dar când mă leagă la 10.1.0.2, adresa IP 3.3.3.3 nu este accesibilă din internet de pe orice port și interfața WG1 nu are conexiune la internet (de ex. când încercați curl --interface wg1 ifconfig.co).

Vă mulțumim anticipat pentru timpul acordat și pentru ajutor!

21
0 + 0
djdomi avatar
drapel za
djdomi
această întrebare are legătură cu un mediu de afaceri și ați fost un administrator de afaceri profesionist?
0
Răspunde
Nicolò avatar
drapel de
Nicolò
Da @djdomi, mediul este legat de afaceri, altfel nu as intreba pe ServerFault⦠Tocmai am definit serverul home-server ca este de dimensiuni relativ mici, dar dupa cum va amintiti din mesaj este instalat in biroul meu pt. un mediu de producție.
0
Răspunde
djdomi avatar
drapel za
djdomi
și ce fel de servicii ar trebui să ruleze? un server web este mai ușor de utilizat cu un proxy invers
0
Răspunde
Nicolò avatar
drapel de
Nicolò
Sunt conștient de posibila idee de a folosi un proxy invers, dar pe măsură ce voi găzdui baze de date, docker, e-mailuri și orice ar putea deveni util, am nevoia să tunelesc toate porturile. @djdomi
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.