Kính gửi cộng đồng ServerFault,
Gần đây tôi đã mua một máy chủ gia đình. Tôi không muốn lưu trữ bất kỳ nội dung nào trên IP văn phòng của mình (1.1.1.1) và do đó, tôi đã mua một VPS OVH có 4 IP và tạo một đường hầm WireGuard để sử dụng IP của VPS làm IP máy chủ.
OVH VPS cũng chuyển tiếp tất cả các cổng đến máy chủ của tôi.
Hiện mình đang dùng 2 trong 4 IP của OVH VPS (2.2.2.2) và (3.3.3.3).
Tôi đã tạo hai đường hầm WireGuard trên VPS trên các mạng con khác nhau. Một trên 10.0.0.0 và một trên 10.1.0.0.
AIM của tôi là đạt được một cấu hình để nghe 10.0.0.2 sẽ phân giải thành 2.2.2.2 và lắng nghe 10.1.0.2 sẽ phân giải thành 3.3.3.3.
Điều này không hoạt động cho đường hầm đầu tiên và cho đường hầm thứ hai khi chạy bằng chúng IP được phép = 0.0.0.0/0.
Vấn đề là khi chạy togheter trên IP được phép = 0.0.0.0/0 Kết nối Internet dừng lại.
Tôi đã thử thay đổi IP được phép của WG1 thành 10.1.0.0/24 nhưng sau đó WG1 không có kết nối internet hoạt động.
Đây là các tập tin cấu hình của tôi:
Máy chủ WG0 (OVH VPS):
[Giao diện]
Địa chỉ = 10.0.0.1/24
Cổng nghe = 51821
Khóa riêng tư = {ĐÃ KIỂM TRA}
### Máy khách vpn
[Ngang nhau]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
IP được phép = 10.0.0.2/32
Máy chủ WG1 (OVH VPS):
[Giao diện]
Địa chỉ = 10.1.0.1/24
Cổng nghe = 51822
Khóa riêng tư = {ĐÃ KIỂM TRA}
[Ngang nhau]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
IP được phép = 10.1.0.2/32
Cấu hình IPTables của OVH VPS:
# Được tạo bởi iptables-save v1.8.7 vào Thứ ba ngày 31 tháng 5 15:25:37 năm 2022
*lọc
:CHẤP NHẬN ĐẦU VÀO [1698:235639]
: CHẤP NHẬN VỀ PHÍA TRƯỚC [1053:163056]
:CHẤP NHẬN ĐẦU RA [1451:166474]
:f2b-sshd - [0:0]
LÀM
# Hoàn thành vào Thứ Ba 31 tháng 5 15:25:37 2022
# Được tạo bởi iptables-save v1.8.7 vào Thứ ba ngày 31 tháng 5 15:25:37 năm 2022
*tự nhiên
: CHẤP NHẬN TRƯỚC [435:15811]
:CHẤP NHẬN ĐẦU VÀO [428:15399]
:CHẤP NHẬN ĐẦU RA [32:2255]
:CHẤP NHẬN SAU ĐÓ [119:6298]
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p udp -m udp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p udp -m udp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p tcp -m tcp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 2.2.2.2/32 -p udp -m udp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -d 3.3.3.3/32 -p tcp -m tcp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p tcp -m tcp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p udp -m udp -m multiport --dports 1000:51820 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p udp -m udp -m multiport --dports 51826:65534 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p tcp -m tcp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.1.0.2
-A PREROUTING -d 3.3.3.3/32 -p udp -m udp -m multiport --dports 21,22,80,25,995,110,443,465,993,143 -j DNAT --to-destination 10.1.0.2
-A POSTROUTING -s 10.0.0.2/32 -p tcp -m tcp -m multiport --sports 1000:51820 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p tcp -m tcp -m multiport --sports 51826:65534 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p tcp -m tcp -m multiport --sports 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p udp -m udp -m multiport --sports 1000:51820 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p udp -m udp -m multiport --sports 51826:65534 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.0.0.2/32 -p udp -m udp -m multiport --sports 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 2.2.2.2
-A POSTROUTING -s 10.1.0.2/32 -p tcp -m tcp -m multiport --sports 1000:51820 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p tcp -m tcp -m multiport --sports 51826:65534 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p tcp -m tcp -m multiport --sports 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p udp -m udp -m multiport --sports 1000:51820 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p udp -m udp -m multiport --sports 51826:65534 -j SNAT --to-source 3.3.3.3
-A POSTROUTING -s 10.1.0.2/32 -p udp -m udp -m multiport --sports 21,22,80,25,995,110,443,465,993,143 -j SNAT --to-source 3.3.3.3
LÀM
# Hoàn thành vào Thứ Ba 31 tháng 5 15:25:37 2022
Cấu hình máy chủ WG0:
[Giao diện]
Khóa riêng tư = {ĐÃ KIỂM TRA}
Địa chỉ = 10.0.0.2/32
[Ngang nhau]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
Điểm cuối = 2.2.2.2:51821
IP được phép = 0.0.0.0/0
#AllowedIPs = 10.0.0.0/24
Cấu hình máy chủ WG1:
[Giao diện]
Khóa riêng tư = {ĐÃ KIỂM TRA}
Địa chỉ = 10.1.0.2/32
[Ngang nhau]
PublicKey = {CENSORED}
PresharedKey = {CENSORED}
Điểm cuối = 3.3.3.3:51822
IP được phép = 10.1.0.0/24
Với hiện tại của tôi (dán ở đây) cấu hình tôi có thể liên kết (ví dụ Apache2) với 10.0.0.2 và nó giải quyết chính xác và cho phép mọi người truy cập máy chủ từ 2.2.2.2, nhưng khi tôi liên kết với 10.1.0.2, địa chỉ IP 3.3.3.3 không thể truy cập được từ internet từ bất kỳ cổng nào và giao diện WG1 không có kết nối internet (ví dụ: khi thử cuộn tròn --interface wg1 ifconfig.co).
Cảm ơn bạn trước cho thời gian của bạn và giúp đỡ!
