Tham gia Đăng nhập
Điểm:1
Paul G avatar Ubuntu

VPN/WIreguard chuyển tiếp lưu lượng truy cập nội bộ cũng như bên ngoài

lá cờ br
Paul G

Đây có thể là một câu hỏi về tường lửa Linux nhiều hơn, nhưng ngữ cảnh là thiết lập Wireguard VPN trên Ubuntu. Lưu ý, tôi hầu như không làm quen với nhiều thứ này.

Tôi đã thiết lập và chạy Wireguard trên Digital Ocean Ubuntu với các máy khách Windows và Android sử dụng nó. Tất cả có vẻ tốt.

Các lệnh tường lửa cơ bản mà tôi sử dụng khi nó xuất hiện là/ở bên dưới: Vì vậy, dòng thứ 3 xuất hiện để định tuyến tất cả lưu lượng truy cập vào wg0 (VPN riêng) thông qua công chúng eth0 giao diện. Như nó nên (gần như?) Và nó hoạt động tốt. Wgo/Mạng riêng là 10.8.0.1/24 và máy chủ là 10.8.0.1. Khi lưu lượng truy cập của khách hàng đến máy chủ bên dưới dành cho 10.8.0.x (một địa chỉ khác trong mạng riêng) hết thời gian chờ.

Tôi "nghĩ" đó là vì nó đang cố định tuyến nó qua eth0? Nếu vậy, làm cách nào để đảm bảo rằng lưu lượng dành cho mạng con riêng vẫn sử dụng wg0 giao diện? Nếu không, bất kỳ đề nghị khác?

PreUp = sysctl -w net.ipv4.ip_forward=1
PreUp = sysctl -w net.ipv6.conf.all.forwarding=1
PostUp = ufw route cho phép vào wg0 out trên eth0
PostUp = iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
PreDown = xóa tuyến đường ufw cho phép vào wg0 ra trên eth0
PreDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PreDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostDown = sysctl -w net.ipv4.ip_forward=0
PostDown = sysctl -w net.ipv6.conf.all.forwarding=0
287
0 + 0
Điểm:0
Anders F. U. Kiær avatar Ubuntu
lá cờ in
Anders F. U. Kiær

Nếu chính sách mặc định của bạn là loại bỏ hoặc từ chối chuyển tiếp trong iptables/ufw. Sau đó, rất có thể bạn đang thiếu các mục tường lửa/ufw để cho phép lưu lượng truy cập giữa (các) giao diện bảo vệ dây khác nhau hoặc vào và ra trên cùng một giao diện.

Bạn có thể kiểm tra dmesg của bạn cho [Khối UFW] tin nhắn.

Để cho phép luồng vào và ra không hạn chế trên cùng một giao diện wg PostUp = ufw route cho phép vào wg0 out trên wg0

Tôi muốn sửa đổi trực tiếp tệp cấu hình sudo vim /etc/ufw/b Before.rules Chuyển đến bộ lọc, sau khi kết thúc các dòng bắt buộc, bạn có thể thêm các quy tắc chuyển tiếp mà mình cần. Ví dụ:

-A ufw-trước-chuyển tiếp -i wg0 -s 10.8.0.1/24 -o wg0 -d 10.8.0.1/24 -j CHẤP NHẬN

Điều này sẽ cho phép lưu lượng truy cập từ (cờ -s) 10.8.0.1/24 trên giao diện wg0 đến (cờ -d) 10.8.0.1/24 trên giao diện wg0. -i là giao diện đầu vào và -o là giao diện đầu ra.

Nếu bạn thích sử dụng cách lên\xuống của mình, bạn có thể thêm iptables trước lệnh.

iptables -A ufw-before-forward -i wg0 -s 10.8.0.1/24 -o wg0 -d 10.8.0.1/24 -j CHẤP NHẬN

Chúc may mắn :)

0 + 0
Paul G avatar
lá cờ br
Paul G
Chỉ cần trở lại với điều này. Theo đề xuất tôi đã thêm iptables -A ufw-before-forward -i wg0 -s 10.8.0.1/24 -o wg0 -d 10.8.0.1/24 -j CHẤP NHẬN nhưng đối với tệp wg0.conf của tôi, thực sự đây chính xác là những gì tôi muốn. lưu lượng truy cập trong mạng con đó để duy trì trên wg0. Nó dường như đã hoạt động hoàn hảo, cảm ơn !! Mình không rành về file cấu hình before.rules nên kẹt với wg0.conf
1
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.