Tôi đã thiết lập EdgeRouter-X của mình làm ứng dụng khách WireGuard (sử dụng IPv6) để IP công khai của tôi được hiển thị là IP công cộng của máy chủ WireGuard.
Điều này là do tôi muốn lưu trữ một máy chủ gia đình bằng cách sử dụng IP của OVH và Anti-DDoS thay vì ip công khai của riêng tôi không được bảo vệ.
Tôi có 4 IP công khai:
22.22.22.22
33.33.33.33
44.44.44.44
55.55.55.55
Biểu đồ cho kết nối của tôi là như thế này:
OVH VPS Wireguard Server Đường hầm WG0 (Đường hầm ĐỊA PHƯƠNG 10.0.0.1) [Chuyển tiếp cổng với IPTables] <-----> (Đường hầm ĐỊA PHƯƠNG 10.0.0.2) EdgeRouter X
EdgeRouter-X (LOCAL 192.168.1.1) [Chuyển tiếp cổng với EdgeRouter] <-----> (LOCAL 192.168.1.10) HOME-SERVER
Tôi đang chuyển tiếp tất cả các cổng từ VPS của OVH (1-65535) bằng IPTables tới EdgeRouter của tôi thông qua đường hầm wg0, sau đó tới máy chủ của tôi và nó đã hoạt động.
Vấn đề là khi người dùng kết nối, chẳng hạn như 22.22.22.22:80, anh ta được hiển thị thành công trên trang web, nhưng IP của anh ta với máy chủ cho kết quả là 10.0.0.1 chứ không phải IP công khai của người dùng.
Đây là cấu hình Máy chủ WG của tôi:
[Giao diện]
Địa chỉ = 10.0.0.1/30
Cổng nghe = 51821
Khóa riêng tư = ĐƯỢC KIỂM TRA
### Máy khách vpn
[Ngang nhau]
PublicKey = ĐƯỢC KIỂM TRA
PresharedKey = ĐƯỢC KIỂM TRA
IP được phép = 10.0.0.2/30
Đây là cấu hình WG Server IPTables của tôi để chuyển tiếp các cổng tới EdgeRouter thông qua WG0:
# Được tạo bởi iptables-save v1.8.7 vào Chủ nhật ngày 9 tháng 1 11:04:33 năm 2022
*lọc
:CHẤP NHẬN ĐẦU VÀO [971:145912]
:CHẤP NHẬN TRƯỚC [920:137172]
:CHẤP NHẬN ĐẦU RA [637:108812]
:f2b-sshd - [0:0]
LÀM
# Hoàn thành vào CN ngày 9 tháng 1 11:04:33 2022
# Được tạo bởi iptables-save v1.8.7 vào Chủ nhật ngày 9 tháng 1 11:04:33 năm 2022
* tự nhiên
: CHẤP NHẬN TRƯỚC [133:6792]
:CHẤP NHẬN ĐẦU VÀO [61:2272]
:CHẤP NHẬN ĐẦU RA [3:228]
:CHẤP NHẬN SAU ĐÓ [66:4011]
-A PREROUTING -i ens3 -p udp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p udp -m multiport --dports 51822:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p tcp -m multiport --dports 51822:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p tcp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p tcp -m multiport --dports 80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p udp -m multiport --dports 80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A POSTROUTING -j MASQUERADE
LÀM
# Hoàn thành vào CN ngày 9 tháng 1 11:04:33 2022
Đây là cấu hình EdgeRouter-X của tôi với máy khách WG0 và cổng chuyển tiếp đến máy chủ gia đình:
bức tường lửa {
kích hoạt tất cả ping
vô hiệu hóa ping phát sóng
tập đoàn {
nhóm địa chỉ MY_PUBLIC {
địa chỉ 22.22.22.22
địa chỉ 33.33.33.33
địa chỉ 44.44.44.44
địa chỉ 55.55.55.55
}
}
tên ipv6 WANv6_IN {
thả hành động mặc định
mô tả "Lưu lượng truy cập vào mạng WAN được chuyển tiếp sang mạng LAN"
bật-mặc định-log
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép các phiên được thiết lập/có liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
tên ipv6 WANv6_LOCAL {
thả hành động mặc định
mô tả "Lưu lượng truy cập WAN đến bộ định tuyến"
bật-mặc định-log
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép các phiên được thiết lập/có liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
quy tắc 30 {
hành động chấp nhận
mô tả "Cho phép IPv6 icmp"
giao thức ipv6-icmp
}
quy tắc 40 {
hành động chấp nhận
mô tả "cho phép dhcpv6"
điểm đến {
cổng 546
}
giao thức udp
nguồn {
cổng 547
}
}
}
ipv6-nhận-chuyển hướng vô hiệu hóa
vô hiệu hóa ipv6-src-tuyến
ip-src-route vô hiệu hóa
kích hoạt log-martians
sửa đổi wireguard_route {
quy tắc 5 {
hành động sửa đổi
điểm đến {
tập đoàn {
nhóm địa chỉ MY_PUBLIC
}
}
biến đổi {
bảng chính
}
}
quy tắc 10 {
hành động sửa đổi
mô tả wireguard-vpn
biến đổi {
Bảng 1
}
nguồn {
địa chỉ 192.168.1.0/24
}
}
}
tên WAN_IN {
thả hành động mặc định
mô tả "WAN đến nội bộ"
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép thiết lập/liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
tên WAN_LOCAL {
thả hành động mặc định
mô tả "WAN đến bộ định tuyến"
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép thiết lập/liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
vô hiệu hóa chuyển hướng nhận
kích hoạt chuyển hướng gửi
vô hiệu hóa xác thực nguồn
kích hoạt đồng bộ cookie
}
giao diện {
ethernet eth0 {
địa chỉ dhcp
mô tả Internet
dhcpv6-pd {
pd 0 {
giao diện eth1 {
dịch vụ dhcpv6-trạng thái
}
giao diện eth2 {
dịch vụ dhcpv6-trạng thái
}
giao diện eth3 {
dịch vụ dhcpv6-trạng thái
}
công tắc giao diện0 {
địa chỉ máy chủ ::1
dịch vụ lười biếng
}
độ dài tiền tố /64
}
kích hoạt cam kết nhanh
}
tự động song công
bức tường lửa {
Trong {
tên ipv6 WANv6_IN
tên WAN_IN
}
địa phương {
tên ipv6 WANv6_LOCAL
tên WAN_LOCAL
}
}
ipv6 {
Địa chỉ {
autoconf
}
dup-addr-phát hiện-truyền 1
}
tốc độ tự động
}
ethernet eth1 {
mô tả Địa phương
tự động song công
tốc độ tự động
}
ethernet eth2 {
mô tả Địa phương
tự động song công
tốc độ tự động
}
ethernet eth3 {
mô tả Địa phương
tự động song công
tốc độ tự động
}
ethernet eth4 {
mô tả Địa phương
tự động song công
thơ {
đầu ra tắt
}
tốc độ tự động
}
vòng lặp lo {
}
công tắc công tắc0 {
địa chỉ 192.168.1.1/24
mô tả Địa phương
bức tường lửa {
Trong {
sửa đổi wireguard_route
}
}
tấn 1500
cổng chuyển mạch {
giao diện eth1 {
}
giao diện eth2 {
}
giao diện eth3 {
}
giao diện eth4 {
}
vô hiệu hóa nhận biết vlan
}
}
dây bảo vệ wg0 {
địa chỉ 10.0.0.2/30
mô tả Wireguard
cổng nghe 51821
mtu 1420
đồng nghiệp ĐƯỢC KIỂM TRA {
cho phép-ips 0.0.0.0/0
điểm cuối [2001:41d0:52:400::6e3]:51821
liên tục giữ 25
khóa chia sẻ trước /config/auth/wg-preshared.key
}
khóa riêng /config/auth/wg.key
tuyến đường cho phép-ips sai
}
}
cảng phía trước {
bật tường lửa tự động
kích hoạt kẹp tóc
công tắc giao diện lan0
quy tắc 1 {
mô tả "Cho phép TẤT CẢ"
chuyển tiếp tới {
địa chỉ 192.168.1.10
}
cổng gốc 1-65535
giao thức tcp_udp
}
giao diện wan wg0
}
giao thức {
tĩnh {
Bảng 1 {
mô tả "bảng để buộc wg0:aws"
giao diện-tuyến 0.0.0.0/0 {
next-hop-giao diện wg0 {
}
}
tuyến đường 0.0.0.0/0 {
hố đen {
khoảng cách 255
}
}
}
}
}
dịch vụ {
DHCP server {
vô hiệu sai
vô hiệu hóa cập nhật hostfile
tên mạng chia sẻ LAN {
kích hoạt có thẩm quyền
mạng con 192.168.1.0/24 {
bộ định tuyến mặc định 192.168.1.1
máy chủ dns 192.168.1.1
thuê 86400
bắt đầu 192.168.1.38 {
dừng 192.168.1.243
}
ánh xạ tĩnh Node2 {
địa chỉ ip 192.168.1.10
địa chỉ mac 90:b1:1c:44:f6:da
}
ánh xạ tĩnh iDRAC {
địa chỉ ip 192.168.1.120
địa chỉ mac E0:DB:55:06:2D:14
}
}
}
vô hiệu hóa tĩnh arp
sử dụng-dnsmasq vô hiệu hóa
}
dns {
chuyển tiếp {
kích thước bộ đệm 150
công tắc nghe0
}
}
gu {
cổng http 80
https-cổng 443
kích hoạt mật mã cũ hơn
}
tự nhiên {
quy tắc 5002 {
mô tả wireguard-nat
đăng nhập vô hiệu hóa
giao diện ra nước ngoài wg0
giao thức tất cả
nguồn {
địa chỉ 192.168.1.0/24
}
kiểu hóa trang
}
quy tắc 5003 {
mô tả "giả trang cho WAN"
đăng nhập vô hiệu hóa
giao diện ra nước ngoài eth0
giao thức tất cả
kiểu hóa trang
}
}
ssh {
cổng 22
phiên bản giao thức v2
}
unms {
}
}
hệ thống {
xử lý phân tích {
gửi-phân tích-báo cáo sai
}
xử lý sự cố {
gửi-sự cố-báo cáo sai
}
tên máy chủ EdgeRouter-X-5-Port
đăng nhập {
người dùng ubnt {
xác thực {
mật khẩu được mã hóa
}
cấp quản trị viên
}
}
ntp {
máy chủ 0.ubnt.pool.ntp.org {
}
máy chủ 1.ubnt.pool.ntp.org {
}
máy chủ 2.ubnt.pool.ntp.org {
}
máy chủ 3.ubnt.pool.ntp.org {
}
}
giảm tải {
kích hoạt hwnat
kích hoạt ipsec
}
nhật ký hệ thống {
toàn cầu {
cơ sở tất cả {
thông báo cấp
}
giao thức cơ sở {
gỡ lỗi cấp độ
}
}
}
múi giờ UTC
}
