существует проблема с настройкой устройства защиты проводов относительно UFW.
CLIENT A -------- SERVER -------- CLIENT B
10.10.10.5 10.10.10.1 10.10.10.11
Я хочу получить доступ к SSH от клиента A к клиенту B, но UFW блокирует это следующим сообщением.
На сервере:
[UFW BLOCK] IN=wg0 OUT=wg0 MAC= SRC=10.10.10.5 DST=10.10.10.11 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=28221 DF PROTO=TCP SPT=51201 DPT=22 WINDOW=64860 RES=0x00 SYN URGP=0
У кого-нибудь есть идея, какой руль мне добавить? В другой конфигурации VPN рекомендуется изменить разрешенный по умолчанию руль. Но сервер открыт для Интернета.
Кстати. Пинг между клиентами работает.
Спасибо!
Я только что устранил эту проблему самостоятельно. Проблема заключалась в том, что я каким-то образом потерял настройки iptables, которые позволяли маскировать трафик Wireguard на моем хосте Wireguard. Вот соответствующая команда (substitude wg0 для вашего устройства Wireguard и ens3 для вашего устройства LAN):
iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
После этого я снова смог правильно использовать ssh! Вы можете добавить их в свои файлы конфигурации Wireguard, чтобы автоматизировать iptables, добавив эти строки в конфигурацию Wireguard на хосте сервера под [Interface]
:
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
Источник: https://securityespresso.org/tutorials/2019/03/22/vpn-server-using-wireguard-on-ubuntu#configuration и слишком много времени потрачено на устранение неисправностей проводов :)