Несколько интерфейсов Wireguard на одном сервере. Как настроить маршрутизацию?

Question

[andrewpalich44]

Ситуация нестандартная. В гугле море однотипных статей по простой настройке wireguard. У меня сложнее, идеи кончились. Думается проблема с роутами.

Есть несколько серверов, назовем их VPS1,VPS2,VPS3. на всех стоит wireguard.
VPS1 является главным сервером-хабом. IP VPS 1 = x.x.x.x На нем крутится 3 интерфейса wireguard1 (подсеть 198.1.1.0/24), wireguard2 (198.2.2.0/24), wireguard3 (198.3.3.0/24).

Мне нужно:
1. при коннекте к VPS1 (x.x.x.x: порт 1111) клиентам выдавались адреса из указанной подсети, но выхода ЗА пределы сервера у них не было, только коннекты между собой в одной подсети. Эдакая закрытая локальная сеть.
2. при коннекте к VPS1 (x.x.x.x: порт 2222) клиенты также могли общаться внутри своей подсети + также выходить в интернет через сервер VPS1 (x.x.x.x) как через впн, назовем это так. Тоесть по сути подключаясь к порту 2222 получался впн.
3. при коннекте к VPS3 (x.x.x.x: порт 3333) все как в пункте 2 но уже двойной впн. Тоесть клиент подключается к айпи VPS1 x.x.x.x порт 3333, на выходе имеет IP VPS2 y.y.y.y. В данном пункте стоит учитывать что тоннель между VPS1 и VPS2 также настроен через wireguard и работает.

А теперь к проблеме - проблема это правильные роуты.
В моем понимании.
1. По первому пункту нужны блокируещие правила. Не знаю какие.

2. По второму пункту

iptables -A FORWARD -i wireguard2 -j ACCEPT; iptables -A FORWARD -o eth0 -j ACCEPT; 
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

3. По третьему пункту
На VPS1

iptables -A FORWARD -i wireguard2 -j ACCEPT && iptables -A FORWARD -o wireguard2-j ACCEPT

На VPS2

iptables -t nat -A POSTROUTING -s 198.3.3.0/24 -o eth0 -j MASQUERADE

При применении всех правил по отдельности все работает. При применении всех сразу - отключается все кроме 3 пункта.
Задача сделать такие правила - чтобы все интерфейсы работали как задумано одновременно.

Всю голову сломал, не смог извертеться.

Comments

[Valentin Barbolin]

Ты хочешь что бы КЛИЕНТ несколько туннелей одновременно поднимал?
https://rair.dev/wireguard-windows-multiple-simult...

[andrewpalich44]

поправил описание немного. мне нужно чтобы на сервере висели разные инстанции wireguard которые обрабатывали свои подсети, а уже у этих инстанций и подсетей были свои правила и роуты по выходу в интернет.

клиент и несколько туннелей это немного другое.

Answer 1

[Alexey Dmitriev]

1. Как минимум у вас очень общие правила iptables - без указания -s
2. У вас статическая конфигурация сети - зачем вы используете правила в PostUP ?
Опишите все нужные статические правила iptables используя IP подсети.
3. Покажите полный список правил( вывод iptables-save) сюда.

Comments

[andrewpalich44]

поправил описание немного, упростил полет мысли.
1. принял к сведению
2. согласен с вами, правила можно написать один раз. руководствовался просто мануалами по wireguard и там везде PostUP
3. правила сбросил, сейчас попробую еще раз и скину что вышло если не вышло.

спасибо

[andrewpalich44]

# Generated by iptables-save v1.8.4 on Thu Jun 15 11:02:53 2023
*mangle
:PREROUTING ACCEPT [2620:966346]
:INPUT ACCEPT [1451:535470]
:FORWARD ACCEPT [1127:427140]
:OUTPUT ACCEPT [1820:594194]
:POSTROUTING ACCEPT [2947:1021334]
-A PREROUTING -p udp -m comment --comment "wg-quick(8) rule for wireguard3" -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A POSTROUTING -p udp -m mark --mark 0xca6c -m comment --comment "wg-quick(8) rule for wireguard3" -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
COMMIT
# Completed on Thu Jun 15 11:02:53 2023
# Generated by iptables-save v1.8.4 on Thu Jun 15 11:02:53 2023
*raw
:PREROUTING ACCEPT [2620:966346]
:OUTPUT ACCEPT [1858:599502]
-A PREROUTING -d 198.3.3.100/32 ! -i wireguard3 -m addrtype ! --src-type LOCAL -m comment --comment "wg-quick(8) rule for wireguard3" -j DROP
COMMIT
# Completed on Thu Jun 15 11:02:53 2023
# Generated by iptables-save v1.8.4 on Thu Jun 15 11:02:53 2023
*filter
:INPUT ACCEPT [1451:535470]
:FORWARD ACCEPT [1127:427140]
:OUTPUT ACCEPT [1858:599502]
-A FORWARD -i wireguard2 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A FORWARD -s 198.3.3.0/24 -d 198.3.3.100/32 -j ACCEPT
-A FORWARD -s 198.3.3.100/32 -d 198.3.3.0/24 -j ACCEPT
COMMIT
# Completed on Thu Jun 15 11:02:53 2023

где 198.3.3.100 это внутренний IP VPS2 используемый в качестве шлюза при использовании wireguard3

опять таки если не смешивать пункты 2 и 3 то все работает, а вместе получается каша. мне не сообразить никак

[Alexey Dmitriev]

"1. По первому пункту нужны блокируещие правила. Не знаю какие."
iptables -A FORWARD -s подсеть_wireguard -d подсеть_wireguard -j ACCEPT
iptables -A FORWARD -s подсеть_wireguard -j DROP

"А теперь к проблеме - проблема это правильные роуты"
iproute2 умеет маршрутизировать трафик исходя из ip адреса источника.