Tham gia Đăng nhập
Điểm:0
Tenders McChiken avatar Server

How do I configure a Wireguard Interface to connect to a remote peer through a specific network interface?

lá cờ eg
Tenders McChiken

Suppose I have two servers, gateway which is publicly visible to the internet and appserver which is hidden behind a nat/firewall. Also suppose that each of these two servers has two interfaces connected to entirely separate internet uplinks (see diagram bellow).

I want to set up two independent Wireguard tunnels between the two servers with the goal of keeping the servers connected if one of them fails:

                   |     Internet     |        
[ gateway ]        |                  |        [appserver]
                   |                  | 
   (wg0) <-----> (ens1) < - - - - > (ens1) <----> (wg0)
                   |                  | 
                   |                  | 
                   |                  |        
   (wg1) <-----> (ens2) < - - - - > (ens2) <----> (wg1)
                   |                  | 
                   |                  |

By default, Wireguard seems to route all traffic through the system's default gateway. So when appserver attempts to connect to gateway, it only uses one of the two interfaces:

                   |     Internet     |        
[ gateway ]        |                  |        [appserver]
                   |                  | 
   (wg0) <--+--> (ens1) < - - - - > (ens1) <--+--> (wg0)
            |      |                  |       |
            |      |                  |       |
            |      |                  |       | 
   (wg1) <--+    (ens2)      X      (ens2)    +--> (wg1)
                   |                  | 
                   |                  |

Since some network tools allow setting a specific network interface to use when sending network traffic, can Wireguard also do the same thing? That is, only send traffic over ens1 or ens2 regardless of default route metrics? If not, how can I set up Linux's networking systems to do this instead?

539
0 + 0
Điểm:0
Tenders McChiken avatar Server
lá cờ eg
Tenders McChiken

Tôi không thể tìm ra cách để thiết bị bảo vệ dây tự kết nối thông qua một giao diện cụ thể, vì vậy cuối cùng tôi quyết định chỉ định tuyến lưu lượng truy cập đến ens2 bằng cách thêm một tuyến đường mới vào máy chủ ứng dụngbảng định tuyến của:

định tuyến ip thêm $GATEWAY_ESN2_ADDR/32 qua $APPSERVER_ESN2_ADDR_GW chỉ số 50

APPSERVER_ESN2_ADDR_GW là địa chỉ của máy chủ ứng dụngbộ định tuyến cổng.

Trong khi nghiên cứu vấn đề này, tôi nhận thấy rằng wireguard cho phép bạn thiết lập fwmark trên lưu lượng gửi đi thuộc một giao diện wireguard cụ thể bằng cách đặt FwMark lĩnh vực dưới [Giao diện]. Wireguard không hỗ trợ đặt dấu này trên cơ sở từng người ngang hàng tại thời điểm viết bài này (2021-09).

Tôi sẽ để ngỏ câu hỏi này trong trường hợp ai đó phát hiện ra câu trả lời thực sự cho câu hỏi này.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.