Регистрация Войти
Рейтинг:0
Aman Juman avatar Server

Цепной туннель WireGuard

флаг ng
Aman Juman

Пытаюсь построить цепочку WireGuard Tunnel. Сейчас тестирую, но я застрял.

У меня есть два сервера WireGuard, первый в Индии, второй в Сингапуре. Вот что я пытаюсь.

Клиент < 10.26.26.0/24 > Индия < 10.26.27.0/24 > Сингапур

В туннельном узле: 10.26.26.20/32 Туннельный узел SG: 10.26.27.20/32

Мне удалось развернуть WireGuard на обоих серверах.И теперь я пытаюсь установить связь между Индией <> Сингапуром, создав новый интерфейс tnl0. Всякий раз, когда я устанавливаю, он выкидывает меня из SSH. Я считаю, что мне нужно сделать что-то вроде брандмауэра здесь. Вот конфигурация сервера. Интерфейс рабочей группы сети Индии:

#Сервер:
[Интерфейс]
Адрес = 10.26.26.1/24
Порт прослушивания = 443
PrivateKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
Сохранение конфигурации = истина
## Правила брандмауэра
PostUp = iptables -A FORWARD -i %i -j ПРИНЯТЬ; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ПРИНЯТЬ; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
#ПК-PEER:
[Вглядеться]
Открытый ключ = ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
Разрешенные IP-адреса = 10.26.26.2/32
#Tnl-PEER:
[Вглядеться]
Публичный ключ = ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
Разрешенные IP-адреса = 10.26.26.20/32

Сингапурский сервер:

#Сервер:
[Интерфейс]
Адрес = 10.26.27.1/24
Порт прослушивания = 443
PrivateKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
Сохранение конфигурации = истина
## Правила брандмауэра
PostUp = iptables -A FORWARD -i %i -j ПРИНЯТЬ; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ПРИНЯТЬ; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
#Tnl-PEER:
[Вглядеться]
Публичный ключ = ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
Разрешенные IP-адреса = 10.26.27.20/32

Конфигурация туннеля из Индии в Сингапур:

[Интерфейс]
PrivateKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
Адрес = 10.26.27.20/32
DNS = 1.1.1.1
[Вглядеться]
Публичный ключ = ХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
Разрешенные IP-адреса = 10.26.27.0/24
Конечная точка = 1.2.3.4:443
PersistentKeepalive = 21

Я пытался следовать этому руководству https://www.ckn.io/blog/2017/12/28/wireguard-vpn-chained-setup/ Но этот очень старый и не работает. Я пытался воспроизвести все, что мог, но безуспешно. Я считаю, что мне нужно добавить некоторые таблицы маршрутизации в Tunnel Config, чтобы я мог передавать клиентский трафик на сингапурский сервер через Индию.

469
0 + 2
флаг cn
Mikael Öhman
Вы не упомянули об этом, и я думаю, вам нужно разрешить переадресацию; `sysctl -w net.ipv4.ip_forward=1`. Кроме того, вы устанавливаете для маршрутизации все `AllowedIPs = 0.0.0.0/0`, это нехорошо. Это будет включать в себя сам трафик конечной точки, так что вы отрежете себя. Вы должны быть более избирательны в отношении пиров «AllowedIPs».
0
Ответить
Aman Juman avatar
флаг ng
Aman Juman
Собственно, я добавил sysctl -w net.ipv4.ip_forward=1 и оба сервера работают нормально. Теперь я понятия не имею, как я могу соединить Сервер-1 с Сервером-2 и пропустить клиентский трафик через Сервер-1 через Сервер-2. И обновил конфиг, вместо 0.0.0.0/0 использовал 2-й сервер WG Subnet.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.