Kính gửi cộng đồng ServerFault
Tôi gặp sự cố với cấu hình tổng thể Đường hầm WireGuard của mình.
Tôi có một OVH VPS với 4 IP công khai (MY_PUBLIC) hoạt động như một máy chủ WireGuard và chuyển tiếp tất cả lưu lượng (và các cổng) tới bộ định tuyến EdgeRouter-X của tôi (192.168.255.1) (hoạt động như một máy khách WireGuard) và sau đó, chuyển tiếp nó tới máy chủ Debian của tôi (192.168.255.10).
Vấn đề là khi trên máy chủ Debian, tôi cố gắng liên kết với bất kỳ IP công cộng nào của VPS WireGuard của OVH (MY_PUBLIC) [Tôi đã cố gắng liên kết Apache với chúng, cùng với MariaDB và Docker nhưng không có gì] tôi gặp lỗi liên kết cho tôi biết rằng Điều đó là không thể.
liên kết: không thể chỉ định địa chỉ được yêu cầu.
Sau một số nghiên cứu tôi tìm thấy điều này:
Thông báo Không thể chỉ định địa chỉ được yêu cầuâ cho thấy rằng tên máy chủ/IP mà bạn đang cố gắng liên kết không phân giải thành giao diện mạng cục bộ.
Từ nghiên cứu trực tuyến, điều này dường như gợi ý NAT ở đâu đó giữa VPS và máy chủ. Tôi là người mới sử dụng mạng và tôi không biết cách giải quyết vấn đề này.
Đây là một vấn đề lớn vì máy chủ chỉ có thể sử dụng các IP đó liên kết với 0.0.0.0.
Cấu hình ER-X của tôi:
bức tường lửa {
kích hoạt tất cả ping
vô hiệu hóa ping phát sóng
tập đoàn {
nhóm địa chỉ MY_PUBLIC { // IP của OVH VPS
địa chỉ 92.CENSORED.CENSORED.108
địa chỉ 149.CENSORED.CENSORED.64
địa chỉ 37.CENSORED.CENSORED.244
địa chỉ 149.CENSORED.CENSORED.244
}
}
tên ipv6 WANv6_IN {
thả hành động mặc định
mô tả "Lưu lượng truy cập vào mạng WAN được chuyển tiếp sang mạng LAN"
bật-mặc định-log
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép các phiên được thiết lập/có liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
tên ipv6 WANv6_LOCAL {
thả hành động mặc định
mô tả "Lưu lượng truy cập WAN đến bộ định tuyến"
bật-mặc định-log
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép các phiên được thiết lập/có liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
quy tắc 30 {
hành động chấp nhận
mô tả "Cho phép IPv6 icmp"
giao thức ipv6-icmp
}
quy tắc 40 {
hành động chấp nhận
mô tả "cho phép dhcpv6"
điểm đến {
cổng 546
}
giao thức udp
nguồn {
cổng 547
}
}
}
ipv6-nhận-chuyển hướng vô hiệu hóa
vô hiệu hóa ipv6-src-tuyến
ip-src-route vô hiệu hóa
kích hoạt log-martians
sửa đổi wireguard_route {
quy tắc 5 {
hành động sửa đổi
điểm đến {
tập đoàn {
nhóm địa chỉ MY_PUBLIC
}
}
biến đổi {
bảng chính
}
}
quy tắc 7 {
hành động sửa đổi
điểm đến {
địa chỉ 172.16.1.0/24
}
biến đổi {
bảng chính
}
}
quy tắc 10 {
hành động sửa đổi
mô tả wireguard-vpn
biến đổi {
Bảng 1
}
nguồn {
địa chỉ 192.168.255.0/24
}
}
}
tên WAN_IN {
thả hành động mặc định
mô tả "WAN đến nội bộ"
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép thiết lập/liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
}
tên WAN_LOCAL {
thả hành động mặc định
mô tả "WAN đến bộ định tuyến"
quy tắc 10 {
hành động chấp nhận
mô tả "Cho phép thiết lập/liên quan"
tiểu bang {
thiết lập cho phép
kích hoạt liên quan
}
}
quy tắc 20 {
thả hành động
mô tả "Bỏ trạng thái không hợp lệ"
tiểu bang {
kích hoạt không hợp lệ
}
}
quy tắc 30 {
hành động chấp nhận
mô tả openvpn
điểm đến {
cổng 1194
}
giao thức udp
}
}
vô hiệu hóa chuyển hướng nhận
kích hoạt chuyển hướng gửi
vô hiệu hóa xác thực nguồn
kích hoạt đồng bộ cookie
}
giao diện {
ethernet eth0 {
địa chỉ dhcp
mô tả Internet
dhcpv6-pd {
pd 0 {
giao diện eth1 {
dịch vụ dhcpv6-trạng thái
}
giao diện eth2 {
dịch vụ dhcpv6-trạng thái
}
giao diện eth3 {
dịch vụ dhcpv6-trạng thái
}
công tắc giao diện0 {
địa chỉ máy chủ ::1
dịch vụ lười biếng
}
độ dài tiền tố /64
}
kích hoạt cam kết nhanh
}
tự động song công
bức tường lửa {
Trong {
tên ipv6 WANv6_IN
tên WAN_IN
}
địa phương {
tên ipv6 WANv6_LOCAL
tên WAN_LOCAL
}
}
ipv6 {
Địa chỉ {
autoconf
}
dup-addr-phát hiện-truyền 1
}
tốc độ tự động
}
ethernet eth1 {
mô tả Địa phương
tự động song công
tốc độ tự động
}
ethernet eth2 {
mô tả Địa phương
tự động song công
tốc độ tự động
}
ethernet eth3 {
mô tả Địa phương
tự động song công
tốc độ tự động
}
ethernet eth4 {
mô tả Địa phương
tự động song công
thơ {
đầu ra tắt
}
tốc độ tự động
}
vòng lặp lo {
}
openvpn vtun0 {
chế độ máy chủ
người phục vụ {
máy chủ định danh 192.168.255.1
đẩy tuyến 192.168.255.0/24
mạng con 172.16.1.0/24
}
tls {
ca-cert-file /config/auth/cacert.pem
tệp chứng chỉ /config/auth/server.pem
tệp dh /config/auth/dh.pem
tệp khóa /config/auth/server.key
}
}
công tắc công tắc0 {
địa chỉ 192.168.255.1/24
mô tả Địa phương
bức tường lửa {
Trong {
sửa đổi wireguard_route
}
}
tấn 1500
cổng chuyển mạch {
giao diện eth1 {
}
giao diện eth2 {
}
giao diện eth3 {
}
giao diện eth4 {
}
vô hiệu hóa nhận biết vlan
}
}
dây bảo vệ wg0 {
địa chỉ 10.0.0.2/30
mô tả Wireguard
cổng nghe 51821
mtu 1420
đồng đẳng KIỂM TRA+CENSORED+CENSORED= {
cho phép-ips 0.0.0.0/0
điểm cuối 92.CENSORED.CENSORED.108:51821
liên tục giữ 25
khóa chia sẻ trước /config/auth/wg-preshared.key
}
khóa riêng /config/auth/wg.key
tuyến đường cho phép-ips sai
}
}
cảng phía trước {
bật tường lửa tự động
kích hoạt kẹp tóc
công tắc giao diện lan0
quy tắc 1 {
mô tả "Cho phép TẤT CẢ"
chuyển tiếp tới {
địa chỉ 192.168.255.10
}
cổng gốc 1-65535
giao thức tcp_udp
}
giao diện wan wg0
}
giao thức {
tĩnh {
Bảng 1 {
mô tả "bảng để buộc wg0:aws"
giao diện-tuyến 0.0.0.0/0 {
next-hop-giao diện wg0 {
}
}
tuyến đường 0.0.0.0/0 {
hố đen {
khoảng cách 255
}
}
}
}
}
dịch vụ {
DHCP server {
vô hiệu sai
vô hiệu hóa cập nhật hostfile
tên mạng dùng chung LAN-X {
vô hiệu hóa có thẩm quyền
mạng con 192.168.255.0/24 {
bộ định tuyến mặc định 192.168.255.1
máy chủ dns 192.168.255.1
thuê 86400
bắt đầu 192.168.255.2 {
dừng 192.168.255.254
}
ánh xạ tĩnh iDRAC {
địa chỉ ip 192.168.255.120
địa chỉ mac ĐƯỢC CENSORED:CENSORED:CENSORED:CENSORED:CENSORED:CENSORED
}
ánh xạ tĩnh node2 {
địa chỉ ip 192.168.255.10
địa chỉ mac ĐƯỢC CENSORED:CENSORED:CENSORED:CENSORED:CENSORED:CENSORED
}
}
}
vô hiệu hóa tĩnh arp
sử dụng-dnsmasq vô hiệu hóa
}
dns {
chuyển tiếp {
kích thước bộ đệm 150
công tắc nghe0
nghe trên vtun0
}
}
gu {
cổng http 80
https-cổng 443
kích hoạt mật mã cũ hơn
}
tự nhiên {
quy tắc 5001 {
mô tả wireguard-nat
đăng nhập vô hiệu hóa
giao diện ra nước ngoài wg0
giao thức tất cả
nguồn {
địa chỉ 192.168.255.0/24
}
kiểu hóa trang
}
quy tắc 5002 {
mô tả "giả trang cho WAN"
đăng nhập vô hiệu hóa
giao diện ra nước ngoài eth0
giao thức tất cả
kiểu hóa trang
}
}
ssh {
cổng 22
phiên bản giao thức v2
}
unms {
}
}
hệ thống {
xử lý phân tích {
gửi-phân tích-báo cáo sai
}
xử lý sự cố {
gửi-sự cố-báo cáo sai
}
tên máy chủ EdgeRouter-X-5-Port
đăng nhập {
người dùng ubnt {
xác thực {
mật khẩu được mã hóa ĐÃ KIỂM TRA
}
cấp quản trị viên
}
}
ntp {
máy chủ 0.ubnt.pool.ntp.org {
}
máy chủ 1.ubnt.pool.ntp.org {
}
máy chủ 2.ubnt.pool.ntp.org {
}
máy chủ 3.ubnt.pool.ntp.org {
}
}
giảm tải {
kích hoạt hwnat
kích hoạt ipsec
}
nhật ký hệ thống {
toàn cầu {
cơ sở tất cả {
thông báo cấp
}
giao thức cơ sở {
gỡ lỗi cấp độ
}
}
}
múi giờ UTC
}
Cấu hình WG của VPS OVH của tôi:
[Giao diện]
Địa chỉ = 10.0.0.1/30
Cổng nghe = 51821
Khóa riêng tư = ĐƯỢC KIỂM TRA
### Máy khách vpn
[Ngang nhau]
PublicKey = ĐƯỢC KIỂM TRA
PresharedKey = ĐƯỢC KIỂM TRA
IP được phép = 10.0.0.2/30
Các bảng IP OVH của tôi:
# Được tạo bởi iptables-save v1.8.7 vào Chủ nhật ngày 9 tháng 1 11:04:33 năm 2022
*lọc
:CHẤP NHẬN ĐẦU VÀO [971:145912]
:CHẤP NHẬN TRƯỚC [920:137172]
:CHẤP NHẬN ĐẦU RA [637:108812]
:f2b-sshd - [0:0]
LÀM
# Hoàn thành vào CN ngày 9 tháng 1 11:04:33 2022
# Được tạo bởi iptables-save v1.8.7 vào Chủ nhật ngày 9 tháng 1 11:04:33 năm 2022
* tự nhiên
: CHẤP NHẬN TRƯỚC [133:6792]
:CHẤP NHẬN ĐẦU VÀO [61:2272]
:CHẤP NHẬN ĐẦU RA [3:228]
:CHẤP NHẬN SAU ĐÓ [66:4011]
-A PREROUTING -i ens3 -p udp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p udp -m multiport --dports 51822:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p tcp -m multiport --dports 51822:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p tcp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p tcp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -i ens3 -p udp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A POSTROUTING -o ens3 -j MASQUERADE
LÀM
# Hoàn thành vào CN ngày 9 tháng 1 11:04:33 2022
Chỉ để khắc phục sự cố, tôi đã thử liên kết với IP Office của mình, như mong đợi và mong muốn, không hoạt động như đằng sau Đường hầm WireGuard của ER-X.
Dưới đây là một số chủ đề đã giúp tôi thiết lập LÊN cấu trúc WireGuard hiện tại của mình: https://community.ui.com/questions/EdgeRouter-X-as-WireGuard-Client-Forward-ports-from-WG-tunnel-to-LAN/f19957fb-70be-485f-832d-381c6ea4b306
https://community.ui.com/questions/EdgeRouter-X-as-a-WireGuard-client-with-port-forwarding-or-User-IP-is-shown-to-be-WireGuard-tunnels/2a8b19ab- ac0c-48ed-b367-afd3914de9c2
Cảm ơn rất nhiều về sự trợ giúp của bạn!