înregistrare Logare
Puncte:1
Paul G avatar Ubuntu

VPN/WIreguard redirecționează traficul intern, precum și extern

drapel br
Paul G

Aceasta poate fi mai mult o întrebare de firewall Linux, dar contextul este configurarea Wireguard VPN pe Ubuntu. Rețineți, abia mă familiarizez cu multe din aceste lucruri.

Am Wireguard în funcțiune pe Digital Ocean Ubuntu cu clienți Windows și Android care îl folosesc. Totul pare bine.

Comenzile de bază pentru firewall pe care le folosesc când apare sunt/sunt mai jos: Deci, a treia linie pare să direcționeze tot traficul care vine pe wg0 (VPN privat) prin public eth0 interfață. Cum ar trebui (aproape?) și funcționează bine. Wgo/Rețeaua privată este 10.8.0.1/24 iar serverul este 10.8.0.1. Când un trafic client intră pe serverul de mai jos destinat 10.8.0.x (o altă adresă din rețeaua privată) expiră.

„M-am gândit” că este pentru că încearcă să-l trimită eth0? Dacă da, cum mă asigur că traficul destinat subrețelei private rămâne în utilizare wg0 interfata? Daca nu, alte sugestii?

PreUp = sysctl -w net.ipv4.ip_forward=1
PreUp = sysctl -w net.ipv6.conf.all.forwarding=1
PostUp = ufw route allow in on wg0 out on eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = ștergerea rutei ufw permite intrarea pe wg0 pe eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostDown = sysctl -w net.ipv4.ip_forward=0
PostDown = sysctl -w net.ipv6.conf.all.forwarding=0
287
0 + 0
Puncte:0
Anders F. U. Kiær avatar Ubuntu
drapel in
Anders F. U. Kiær

Dacă politica dvs. implicită este să renunțați sau să refuzați redirecționarea în iptables/ufw. Atunci, cel mai probabil, vă lipsesc intrările firewall/ufw pentru a permite traficului să circule între diferitele interfețe wireguard sau să intre și să iasă pe aceeași interfață.

Puteți verifica dmesg-ul dvs [BLOC UFW] mesaje.

Pentru a permite fluxul nerestricționat de intrare și ieșire pe aceeași interfață wg PostUp = ruta ufw permite intrarea pe wg0 pe wg0

Prefer să modific fișierul de configurare direct sudo vim /etc/ufw/before.rules Mergeți la filtru, după sfârșitul liniilor solicitate puteți adăuga regulile de redirecționare de care aveți nevoie. De exemplu:

-A ufw-before-forward -i wg0 -s 10.8.0.1/24 -o wg0 -d 10.8.0.1/24 -j ACCEPT

Acest lucru va permite traficul de la (-s flag) 10.8.0.1/24 pe interfața wg0 la (-d flag) 10.8.0.1/24 pe interfața wg0. -i este interfața de intrare și -o este interfața de ieșire.

Dacă preferați să utilizați modul sus/jos, puteți adăuga iptables în fața comenzii.

iptables -A ufw-before-forward -i wg0 -s 10.8.0.1/24 -o wg0 -d 10.8.0.1/24 -j ACCEPT

Noroc :)

0 + 0
Paul G avatar
drapel br
Paul G
Tocmai am revenit la asta. După cum am sugerat, am adăugat iptables -A ufw-before-forward -i wg0 -s 10.8.0.1/24 -o wg0 -d 10.8.0.1/24 -j ACCEPT dar la fișierul meu wg0.conf ca, într-adevăr, asta este exact ceea ce mi-am dorit. traficul din subrețea respectivă pentru a rămâne pe wg0. Se pare că a funcționat perfect, mulțumesc!! Nu sunt familiarizat cu fișierul de configurare before.rules, așa că am rămas cu wg0.conf
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.