Почему не поднимается cloudflare wireguard туннель на linux debian 11, и во время запуска этого туннеля отключается интернет?

Question

[FutureDestroyer]

доброго времени суток, получаю конфигу от cloudflare

[Interface]
PrivateKey = 1111111111111111111111111111
Address = 172.16.0.2/32
Address = 2606:4700:110:8e82:f07c:f5a0:4619:df97/128
DNS = 1.1.1.1
MTU = 1280
[Peer]
PublicKey = 22222222222222222222222222222
AllowedIPs = 0.0.0.0/0
AllowedIPs = ::/0
Endpoint = engage.cloudflareclient.com:2408

[Interface]
PrivateKey = 1111111111111111111111111111
address = 172.16.0.2/32
MTU = 1500
[Peer]
PublicKey = 22222222222222222222222222222
AllowedIPs = 0.0.0.0/0
Endpoint = 162.159.192.1:2408
PersistentKeepalive = 25

пробовал с mtu=1280, всё так же handhsake нет, трафик в обратку не идет
162.159.192.1 пингуется, проблем нет
dns уже стоит 1.1.1.1 DoH через pi-hole
сервер выступает в роли роутера, на нём уже есть 1 wireguard туннель только до локальной сети клиента

firewall:

-A INPUT -i wwan0 -p udp -m udp --dport 13231 -j ACCEPT
-A INPUT -i wwan0 -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -i wwan0 -p udp -m udp --dport 2308 -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A INPUT -i wgcf -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp2s0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i wg0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i wg0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i wg0 -o enp2s0 -j ACCEPT
-A FORWARD -i wgcf -o enp2s0 -j ACCEPT
-A FORWARD -i enp2s0 -o wg0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i enp2s0 -o wwan0 -j ACCEPT
-A FORWARD -i wwan0 -o enp2s0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o enp2s0 -j ACCEPT
-A OUTPUT -o wwan0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.0.0.0/24 -o wwan0 -j MASQUERADE

10.0.0.0/24 - это lan сервера
и еще вопрос - надо ли вешать MASQUERADE на этот wg cloudflare туннель?

вот такое получается при поднятии туннеля:

root@debian:~# wg-quick up wgcf
[#] ip link add wgcf type wireguard
[#] wg setconf wgcf /dev/fd/63
[#] ip -4 address add 172.16.0.2/32 dev wgcf
[#] ip link set mtu 1500 up dev wgcf
[#] wg set wgcf fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wgcf table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63

ip a:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group defaul                                                                                                                                                                                                                                             t qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP                                                                                                                                                                                                                                              group default qlen 1000
    link/ether :qwd brd 
    inet 10.0.0.5/24 brd 10.0.0.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 /64 scope link
       valid_lft forever preferred_lft forever
3: wwan0: <BROADCAST,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast stat                                                                                                                                                                                                                                             e UNKNOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 0.0.0.1/30 brd 0.0.0.3 scope global noprefixroute wwan0
       valid_lft forever preferred_lft forever
- это линк, ip получает нормально просто они изменены

4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN gro                                                                                                                                                                                                                                             up default qlen 1000
    link/none
    inet 10.10.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever
7: wgcf: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN gr                                                                                                                                                                                                                                             oup default qlen 1000
    link/none
    inet 172.16.0.2/32 scope global wgcf
       valid_lft forever preferred_lft forever

- это cloudflare туннель

ip route:

default via 0.0.0.2 dev wwan0 proto static metric 700
10.0.0.0/24 dev enp2s0 proto kernel scope link src 10.0.0.5
10.0.0.0/16 dev wg0 scope link
10.10.0.0/24 dev wg0 proto kernel scope link src 10.10.0.1
0.0.0.0/30 dev wwan0 proto kernel scope link src 0.0.0.1 metric 700

ip a и ip route с запущенным wgcf туннелем
помогите пожалуйста

Answer 1

[romazhan]

Похоже, что у вас проблема с настройкой туннеля WireGuard. Во-первых, проверьте, что вы указали правильное имя интерфейса WireGuard (`wgcf`) в своих правилах фаервола. Во-вторых, убедитесь, что вы указали правильный адрес сервера WireGuard (`engage.cloudflareclient.com:2408`) в конфигурации туннеля. Также убедитесь, что ваш клиент и сервер имеют совместимые версии WireGuard.

Если у вас есть другие интерфейсы, такие как `wwan0`, убедитесь, что вы разрешили доступ к туннелю WireGuard через эти интерфейсы. Для этого вам может понадобиться добавить правила фаервола, которые разрешают пакеты, направленные на порты WireGuard (13231, 51820 или другой).

Comments

[FutureDestroyer]

1) проверил, всё верно указано. firewall я выложил. сделал в нём ровно такие же настройки как и для уже работающего wireguard туннеля (wg0) с ним проблем нет вообще никаких
2) заменил ip 162.159.192.1:2408 на имя engage.cloudflareclient.com:2408 -не помогло
3) да, всё разрешено. сделал опять же то же самое как у первого рабочего туннеля wg0, но wgcf не работает

[romazhan]

Судя по конфигурации, Вы пытаетесь настроить wireguard туннель в Cloudflare. Однако, у Вас указано несколько странных параметров:
-
Address = 2606:4700:110:8e82:f07c:f5a0:4619:df97/128 - этот адрес не является локальным адресом Вашего устройства, а скорее всего является глобальным IPv6 адресом.
-
Endpoint = engage.cloudflareclient.com:2408 - этот адрес также не является адресом Вашего устройства, а скорее всего является адресом сервера Cloudflare.
-

Возможно, причиной отключения интернета при попытке запуска wireguard туннеля является то, что Ваш роутер перестает работать как шлюз для трафика, поскольку непонятно, куда ему маршрутизировать трафик.

[romazhan]

FutureDestroyer, по поводу первой проблемы: при запуске туннеля Wireguard порты на компьютере, на котором запущен туннель, будут заняты туннелем и не будут доступны для других приложений. Это может привести к отключению интернета. Чтобы этого избежать, можно использовать разные порты для разных туннелей.

[FutureDestroyer]

polak228,
1) это вероятно 2 локальных адреса, просто выдаются на выбор ipv4 или ipv6, но возможно вы правы, только зачем он нужен непонятно, так же в мануалах не нашел чтобы кто-то его вообще использовал
2) Endpoint = engage.cloudflareclient.com:2408 - всё верно, он и настроен как endpoint
3)

Ваш роутер перестает работать как шлюз для трафика

а вот это возможно, но так ли это и как это исправить я не понимаю

[FutureDestroyer]

polak228, с этим проблем нет, порты разумеется разные, их я не подменял, они как и указаны в конфигах

[FutureDestroyer]

polak228,

Ваш роутер перестает работать как шлюз для трафика

только что попробовал убрать peer allowedips = 0.0.0.0/0, вместо этого прописал локалку которую дает cloudflare 172.16.0.0/24, инет не пропал, значит отчасти верно, трафик пытался идти через wgcf, но туннель всё равно не поднялся, не было handshake. значит дело в самом туннеле, но он скорее всего не блочится, потому что и ip и домен пингуются, да и настройки у меня вроде бы верные, в чем тогда дело не пойму. даже если бы весь трафик шел в в wgcf это ничего страшного, всё бы работало, с этим бы я потом разобрался,
выходит дело только в том что не поднимается сам туннель

насчет 51820 порта, я затупил при настройке, это вообще listenport который почему-то автоматически создается, он не нужен, так как я клиент а не сервер, мне нужен только порт 2408 который выдал cloudflare и по идее это он слушает меня именно по этому порту

interface: wgcf
  public key: 1111111111111111111111111
  private key: (hidden)
  listening port: 59152

peer: 2222222222222222222222222
  endpoint: 162.159.192.1:2408
  allowed ips: 172.16.0.0/24
  transfer: 0 B received, 23.41 KiB sent
  persistent keepalive: every 25 seconds

interface: wg0
  public key: 3333333333333333333333333
  private key: (hidden)
  listening port: 57426

peer: 444444444444444444444444
  endpoint: 11.22.33.44:13231
  allowed ips: 10.10.0.2/32, 10.0.0.0/16
  latest handshake: 1 minute, 48 seconds ago
  transfer: 16.86 MiB received, 559.25 KiB sent
  persistent keepalive: every 25 seconds

вот так сейчас выглядят нерабочий туннель от cloudflare и рабочий wg0 настроенные по одному и тому же принципу