Назад | Перейти на главную страницу

Wireguard Access между клиентами - блок UFW

существует проблема с настройкой устройства защиты проводов относительно UFW.

CLIENT A   -------- SERVER -------- CLIENT B
10.10.10.5         10.10.10.1      10.10.10.11

Я хочу получить доступ к SSH от клиента A к клиенту B, но UFW блокирует это следующим сообщением.

На сервере:

[UFW BLOCK] IN=wg0 OUT=wg0 MAC= SRC=10.10.10.5 DST=10.10.10.11 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=28221 DF PROTO=TCP SPT=51201 DPT=22 WINDOW=64860 RES=0x00 SYN URGP=0

У кого-нибудь есть идея, какой руль мне добавить? В другой конфигурации VPN рекомендуется изменить разрешенный по умолчанию руль. Но сервер открыт для Интернета.

Кстати. Пинг между клиентами работает.

Спасибо!

Я только что устранил эту проблему самостоятельно. Проблема заключалась в том, что я каким-то образом потерял настройки iptables, которые позволяли маскировать трафик Wireguard на моем хосте Wireguard. Вот соответствующая команда (substitude wg0 для вашего устройства Wireguard и ens3 для вашего устройства LAN):

iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

После этого я снова смог правильно использовать ssh! Вы можете добавить их в свои файлы конфигурации Wireguard, чтобы автоматизировать iptables, добавив эти строки в конфигурацию Wireguard на хосте сервера под [Interface]:

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

Источник: https://securityespresso.org/tutorials/2019/03/22/vpn-server-using-wireguard-on-ubuntu#configuration и слишком много времени потрачено на устранение неисправностей проводов :)