1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. WireGuard - nejde internet přes tunel
« předchozí další »
Stran: [1]

WireGuard - nejde internet přes tunel

  • 6 Odpovědí
  • 2161 Zhlédnutí

Mi1an

WireGuard - nejde internet přes tunel
« kdy: 07. 04. 2021, 17:16:00 »
Zdravím.
Nainstaloval a rozchodil jsem Wireguard na Red Hat 8 podle tohoto návodu.

Server s Wireguard je za routerem. Na routeru jsem nastavil port forwarding.
Nastavil jsem telefon jako "klienta". Připojení funguje, což jsem odzkoušel- samba, ssh maká.

Chtěl bych ale taky na internet, což nefunguje.
Předpokládám, že bude potřeba něco nastavit ve firewallu na tom serveru.
Můžete mi prosím někdo poradit, jak ten firewall nastavit?
Díky.
« Poslední změna: 07. 04. 2021, 18:11:25 od Petr Krčmář »
IP zaznamenána

Reklama

  • * * * * *

_Jenda

  • *****
  • 1 606
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Wireguard, RedHat - nejde internet
« Odpověď #1 kdy: 07. 04. 2021, 17:28:46 »
Minimálně

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

pro další řešení bude potřeba pořídit packet capture na obou rozhraních (wg a internet ze serveru ven).

Edit: v tom návodu už to nějak dělají. firewall-cmd neznám, pouze normální iptables, tak koukni do iptables-save jak to tam je.
IP zaznamenána

Mi1an

Re:Wireguard, RedHat - nejde internet
« Odpověď #2 kdy: 07. 04. 2021, 18:32:19 »
Citace: _Jenda  07. 04. 2021, 17:28:46
v tom návodu už to nějak dělají.......
To jsem si právě myslel, že tím to bude vyřešené.

Našel jsem nějaké návody, ale je to pro mě tak trochu španělská vesnice.
Třeba tohle vypadá nadějně: https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/
Nějak se mi do toho nechce, aniž by na to někdo chytřejší kouknul.
Běží mi na tom serveru samba, nfs a pi-hole. Nerozvrtám s tím něco?
Původně jsem to viděl tak na 2-3 pravidla ve fw.  ;D
Díky.

IP zaznamenána

_Jenda

  • *****
  • 1 606
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Wireguard, RedHat - nejde internet
« Odpověď #3 kdy: 07. 04. 2021, 20:14:08 »
Citace: Mi1an  07. 04. 2021, 18:32:19
Běží mi na tom serveru samba, nfs a pi-hole. Nerozvrtám s tím něco?
Snad ne, uvedené služby žádná iptables pravidla nevyžadují. Rozvrtáš možná pokud máš default policy drop/reject a tyhle služby explicitně povolené.

Citace: Mi1an  07. 04. 2021, 18:32:19
Původně jsem to viděl tak na 2-3 pravidla ve fw.  ;D
A ono to je místo toho jedno pravidlo (maškaráda), u IPv6 (bez maškarády) dokonce 0 pravidel. A pak se teda může hodit zakázat forward „tím špatným směrem“ pokud nechceš aby ti lidi zvenku mohli lézt do VPN, tak to je další pravidlo.
IP zaznamenána

Mi1an

Re:Wireguard, RedHat - nejde internet
« Odpověď #4 kdy: 07. 04. 2021, 22:10:15 »
Citace
A ono to je místo toho jedno pravidlo (maškaráda), u IPv6 (bez maškarády) dokonce 0 pravidel. A pak se teda může hodit zakázat forward „tím špatným směrem“ pokud nechceš aby ti lidi zvenku mohli lézt do VPN, tak to je další pravidlo.

Takhle jednoduchý to nebude. Ať dělám, co dělám, tak to prostě nefunguje.
Odkládám to na dobu neurčitou- po osmi hodinách všech možných pokusů už mi to ani nemyslí.
IP zaznamenána

Reklama

  • * * * * *

_Tomáš_

  • *****
  • 878
    • Zobrazit profil
Re:WireGuard - nejde internet přes tunel
« Odpověď #5 kdy: 08. 04. 2021, 10:18:11 »
Citace: Mi1an  07. 04. 2021, 22:10:15
Citace
A ono to je místo toho jedno pravidlo (maškaráda), u IPv6 (bez maškarády) dokonce 0 pravidel. A pak se teda může hodit zakázat forward „tím špatným směrem“ pokud nechceš aby ti lidi zvenku mohli lézt do VPN, tak to je další pravidlo.

Takhle jednoduchý to nebude. Ať dělám, co dělám, tak to prostě nefunguje.
Odkládám to na dobu neurčitou- po osmi hodinách všech možných pokusů už mi to ani nemyslí.

pošli výpis iptables. Těžko radit, správné nastavení sítí a forwardování není vždy jednoduché, ale my co to děláme pravidelně a už dlouho to považujeme za snadné, návody nemusí pokrýt všechny případy. Občas je lepší čas věnovat nastudování manuálů a naučení se principů jak to funguje než zkoušení a zkoušení než to dopadne, z toho si pak nic neodneseš.
IP zaznamenána

Mi1an

Re:WireGuard - nejde internet přes tunel
« Odpověď #6 kdy: 08. 04. 2021, 12:20:52 »
Citace
pošli výpis iptables. Těžko radit, správné nastavení sítí a forwardování není vždy jednoduché, ale my co to děláme pravidelně a už dlouho to považujeme za snadné, návody nemusí pokrýt všechny případy. Občas je lepší čas věnovat nastudování manuálů a naučení se principů jak to funguje než zkoušení a zkoušení než to dopadne, z toho si pak nic neodneseš.

Zdravím. Už asi nebude třeba. Teď jak jsem si přečetl tvojí odpověď, tak jsem wg jenom zase zapnul a najednou to jde.
Zvláštní je, že to včera nešlo a to jsem s tím už nic nedělal. Ve výpisu iptables nemám nic, což asi taky není normální.
V nastavení wg u interface mám dvě pravidla podle toho návodu z prvního příspěvku.
Kód: [Vybrat]
Interface]
Address = 192.168.2.1/24
PostUp = firewall-cmd --zone=public --add-port 51820/udp && firewall-cmd --zone=public --add-masquerade
PostDown = firewall-cmd --zone=public --remove-port 51820/udp && firewall-cmd --zone=public --remove-masquerade
ListenPort = 51820
PrivateKey =Pokud tedy je wg up, měl bych asi to PostUp pravidlo vidět i v iptables, ne? Nebo si firewall-cmd "hrabe na svém písečku"?
Celý mi to přijde nějaký divný, tuším nějakou zradu.

IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. WireGuard - nejde internet přes tunel