Wireguard VPN Outbound und Inbound

665
Gaia

Ich versuche einen Wireguard-Tunnel einzurichten, so dass A die IP von B für ausgehenden und eingehenden Datenverkehr verwendet (wie ein Proxy, keine std-VPN-Konfiguration). Beide Boxen sind Ubuntu 16.04.

A ist eth0, hinter einem Router mit NAT und an DMZ mit IP A

B hat zwei öffentliche IPs: eine Hauptadresse (ens3 aka B1) und eine sekundäre (ens3: 0 aka B2). Der zweite sollte dem WG-Tunnel gewidmet sein.

WG auf A:

Interface Address = 10.200.1.2/24 SaveConfig = true ListenPort = 50614 FwMark = 0xca6c PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [Peer] PublicKey = yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy AllowedIPs = 0.0.0.0/0 Endpoint = <B2>:51820 PersistentKeepalive = 10

WG auf B:

[Interface] Address = 10.200.1.1/24 SaveConfig = true ListenPort = 51820 PrivateKey = wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww [Peer] PublicKey = zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz AllowedIPs = 10.200.1.0/24 Endpoint = A:50614

Route auf A:

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Route auf B:

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 B1.B1.B1.1 0.0.0.0 UG 0 0 0 ens3 B2.B2.B2.0 0.0.0.0 255.255.255.0 U 0 0 0 ens3 B1.B1.B1.0 0.0.0.0 255.255.254.0 U 0 0 0 ens3 169.254.169.254 B1.B1.B1.1 255.255.255.255 UGH 0 0 0 ens3

Welche Route muss ich hinzufügen, damit jedes abgehende Paket von A über B2 ausgeht und jedes in B2 eingehende Paket an A gesendet wird?

0

1 Antwort auf die Frage

1
Gaia

Ich habe viel Hilfe von der Wireguard-Community erhalten, und hier ist, was funktioniert.

Ein Klient)

[Interface] Address = B2/32 PrivateKey = yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy  [Peer] PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AllowedIPs = 0.0.0.0/0 Endpoint = B2:51820 PersistentKeepalive = 10 

B (Server)

[Interface] ListenPort = 51820 PrivateKey = yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy  [Peer] PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx AllowedIPs = B2/32 

Vergiss nicht die üblichen Schritte (auf B)

  • Öffnen Sie 51820 / UDP in der Firewall
  • einstellen net.ipv4.ip_forward = 1

Wenn die wg0-Schnittstelle auf B ständig wachsende Fehlerzahlen anzeigt, möchten Sie möglicherweise die DMZ für A deaktivieren oder den eingehenden Port auf Ports einschränken, die bei B2 verwendet werden und möglicherweise auch Datenverkehr über A zur WG-Schnittstelle haben. Dies kann der Fall sein, wenn Sie Peer-basierte Dienste ausführen.