@FutureDestroyer

Почему не поднимается cloudflare wireguard туннель на linux debian 11, и во время запуска этого туннеля отключается интернет?

доброго времени суток, получаю конфигу от cloudflare
[Interface]
PrivateKey = 1111111111111111111111111111
Address = 172.16.0.2/32
Address = 2606:4700:110:8e82:f07c:f5a0:4619:df97/128
DNS = 1.1.1.1
MTU = 1280
[Peer]
PublicKey = 22222222222222222222222222222
AllowedIPs = 0.0.0.0/0
AllowedIPs = ::/0
Endpoint = engage.cloudflareclient.com:2408


[Interface]
PrivateKey = 1111111111111111111111111111
address = 172.16.0.2/32
MTU = 1500
[Peer]
PublicKey = 22222222222222222222222222222
AllowedIPs = 0.0.0.0/0
Endpoint = 162.159.192.1:2408
PersistentKeepalive = 25


пробовал с mtu=1280, всё так же handhsake нет, трафик в обратку не идет
162.159.192.1 пингуется, проблем нет
dns уже стоит 1.1.1.1 DoH через pi-hole
сервер выступает в роли роутера, на нём уже есть 1 wireguard туннель только до локальной сети клиента

firewall:
-A INPUT -i wwan0 -p udp -m udp --dport 13231 -j ACCEPT
-A INPUT -i wwan0 -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -i wwan0 -p udp -m udp --dport 2308 -j ACCEPT
-A INPUT -i wg0 -j ACCEPT
-A INPUT -i wgcf -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp2s0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -i wg0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i wg0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i wg0 -o enp2s0 -j ACCEPT
-A FORWARD -i wgcf -o enp2s0 -j ACCEPT
-A FORWARD -i enp2s0 -o wg0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i enp2s0 -o wwan0 -j ACCEPT
-A FORWARD -i wwan0 -o enp2s0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o enp2s0 -j ACCEPT
-A OUTPUT -o wwan0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.0.0.0/24 -o wwan0 -j MASQUERADE


10.0.0.0/24 - это lan сервера
и еще вопрос - надо ли вешать MASQUERADE на этот wg cloudflare туннель?

вот такое получается при поднятии туннеля:
root@debian:~# wg-quick up wgcf
[#] ip link add wgcf type wireguard
[#] wg setconf wgcf /dev/fd/63
[#] ip -4 address add 172.16.0.2/32 dev wgcf
[#] ip link set mtu 1500 up dev wgcf
[#] wg set wgcf fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wgcf table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63


ip a:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group defaul                                                                                                                                                                                                                                             t qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP                                                                                                                                                                                                                                              group default qlen 1000
    link/ether :qwd brd 
    inet 10.0.0.5/24 brd 10.0.0.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6 /64 scope link
       valid_lft forever preferred_lft forever
3: wwan0: <BROADCAST,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast stat                                                                                                                                                                                                                                             e UNKNOWN group default qlen 1000
    link/ether 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 0.0.0.1/30 brd 0.0.0.3 scope global noprefixroute wwan0
       valid_lft forever preferred_lft forever
- это линк, ip получает нормально просто они изменены

4: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN gro                                                                                                                                                                                                                                             up default qlen 1000
    link/none
    inet 10.10.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever
7: wgcf: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN gr                                                                                                                                                                                                                                             oup default qlen 1000
    link/none
    inet 172.16.0.2/32 scope global wgcf
       valid_lft forever preferred_lft forever

- это cloudflare туннель


ip route:
default via 0.0.0.2 dev wwan0 proto static metric 700
10.0.0.0/24 dev enp2s0 proto kernel scope link src 10.0.0.5
10.0.0.0/16 dev wg0 scope link
10.10.0.0/24 dev wg0 proto kernel scope link src 10.10.0.1
0.0.0.0/30 dev wwan0 proto kernel scope link src 0.0.0.1 metric 700


ip a и ip route с запущенным wgcf туннелем
помогите пожалуйста
  • Вопрос задан
  • 497 просмотров
Пригласить эксперта
Ответы на вопрос 1
@romazhan
Похоже, что у вас проблема с настройкой туннеля WireGuard. Во-первых, проверьте, что вы указали правильное имя интерфейса WireGuard (`wgcf`) в своих правилах фаервола. Во-вторых, убедитесь, что вы указали правильный адрес сервера WireGuard (`engage.cloudflareclient.com:2408`) в конфигурации туннеля. Также убедитесь, что ваш клиент и сервер имеют совместимые версии WireGuard.

Если у вас есть другие интерфейсы, такие как `wwan0`, убедитесь, что вы разрешили доступ к туннелю WireGuard через эти интерфейсы. Для этого вам может понадобиться добавить правила фаервола, которые разрешают пакеты, направленные на порты WireGuard (13231, 51820 или другой).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы