Регистрация Войти
Рейтинг:0
inzig0 avatar Server

Трафик WireGuard не проходит через туннель

флаг ma
inzig0

У меня есть сервер (10.42.0.1) и клиент (10.42.0.2), оба с весг. Я настроил оба с помощью весг команду таким образом, чтобы они могли разговаривать друг с другом.

клиент весг:

интерфейс: WG0
  открытый ключ: abc123=
  закрытый ключ: (скрытый)
  порт прослушивания: 51820

коллега: xyz987=
  конечная точка: 15.14.13.12:51820
  разрешенные ips: 10.42.0.0/24
  передача: 0 B получено, 7,37 KiB отправлено

сервер весг:

интерфейс: WG0
  открытый ключ: xyz987=
  закрытый ключ: (скрытый)
  порт прослушивания: 51820

коллега: abc123=
  разрешенные ips: 10.42.0.0/24

Однако (как вы, возможно, уже заметили), мой сервер совершенно не обращает внимания на моего клиента. Пингуем с клиента и запускаем tcpdump -i wg0 на сервере логов нет трафика.

Клиент пинг:

PING 10.42.0.1 (10.42.0.1) 56 (84) байт данных.
^ С
--- Статистика пинга 10.42.0.1 ---
5 пакетов передано, 0 получено, 100% потери пакетов, время 4046 мс

Сервер tcpdump -i wg0:

tcpdump: подробный вывод подавлен, используйте -v или -vv для полного декодирования протокола
прослушивание на wg0, тип ссылки RAW (Raw IP), размер захвата 262144 байт

0 пакетов захвачено
0 пакетов, полученных фильтром
0 пакетов отброшено ядром

Попытка пропинговать клиента с сервера приводит к ping: sendmsg: требуется адрес назначения, но этого и следовало ожидать, поскольку для клиента не указана конечная точка.

Брандмауэр не должен мешать, это говорит о том, что я не эксперт по iptables.

Сервер iptables -L:

Сеть INPUT (политика ACCEPT)
целевая защита выбор источника назначения         
ПРИНИМАТЬ все -- в любом месте в любом месте СВЯЗАННО, УСТАНОВЛЕНО
ПРИНЯТЬ icmp -- везде где угодно            
ПРИНИМАТЬ все -- в любом месте в любом месте            
ПРИНЯТЬ udp -- в любом месте udp spt:ntp
ПРИНЯТЬ tcp -- в любом месте в любом месте NEW tcp dpt:ssh
REJECT all -- везде где угодно reject-with icmp-host-prohibited
ПРИНИМАТЬ все -- в любом месте в любом месте            

Сеть FORWARD (политика ACCEPT)
целевая защита выбор источника назначения         
REJECT all -- везде где угодно reject-with icmp-host-prohibited

Цепочка OUTPUT (политика ACCEPT)
целевая защита выбор источника назначения

Я знаю, что открывать все порты на моем сервере опасно, но я исправлю это, когда заработаю WireGuard. Я надеюсь, что решение моей проблемы будет чем-то простым, что я просматриваю, но я перепробовал все, что может предложить машина Google, и ничего не работает.

394
0 + 0
флаг in
Virsacer
Вы не можете создать VPN типа «сеть-сеть», когда оба местоположения используют одну и ту же сеть. Кстати: `iptables -S` производит лучший результат.
0
Ответить
inzig0 avatar
флаг ma
inzig0
@Virsacer Я не пытаюсь создать межсайтовую VPN, а IP-адреса — это адреса, назначенные интерфейсу wg0. Я добавлю вывод iptables-S, когда у меня будет доступ к моему серверу, я учусь в школе.
0
Ответить
флаг in
Virsacer
Хорошо, тогда AllowedIPs должны быть равноправными WG-IP/32. Также может помочь вывод `ip r`.
0
Ответить
inzig0 avatar
флаг ma
inzig0
@Virsacer Я изменил разрешенные IP-адреса, и маршрут есть. Однако повторная попытка ping с измененными AllowedIPs теперь выдает `ping: sendmsg: Required key not available`
0
Ответить
A.B avatar
флаг cl
A.B
Дайте пожалуйста все сетевые настройки для сервера: `ip -br link; ip -br адрес; ip-маршрут; ip rule` + `iptables-save -c` (включает все правила и -c подсчитывает, где соответствует правилу). На всякий случай вы должны дать то же самое для клиента. Не стесняйтесь запутывать, но не опускайте.
0
Ответить
A.B avatar
флаг cl
A.B
Во всяком случае, в (неполном по умолчанию) выводе iptables -L я не вижу, как принимается порт UDP 51820.
0
Ответить
inzig0 avatar
флаг ma
inzig0
@A.B Я настроил iptables на прием всего трафика из любого места, вы можете видеть это в цепочке ввода. Сейчас я добавлю вывод других команд
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.