Как настроить блок AllowedIPs в wireguard на ОС: Fedora 40 или Ubuntu 24.04?

Question

[Aleksandr Yurchenko]

Здравствуйте.

Сразу оговорю в Windows, такой проблемы нет. Проверял на последних версиях Ubuntu и Fedora, где была добавлена возможность настраивать wireguard на вкладке Networks в настройках. Имеется конфиг:

[Interface]
PrivateKey = ...............
Address = 10.138.98.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = ...............
AllowedIPs = 0.0.0.0/0
Endpoint = 146.0.78.177:37956

Такой конфиг работает везде: Windows, Ubuntu, Linux. Но мне нужно работа VPN на определенных VPN. Я пытаюсь их указать в блоке "AllowedIPs": 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32 (маска может быть везде 16 или 24 или 32, без разницы если маска отлична от 0 - vpn перестает работаеть), то есть такой конфиг:

[Interface]
PrivateKey = ...............
Address = 10.138.98.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = ...............
AllowedIPs = 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32
Endpoint = 146.0.78.177:37956

Работает только на Windows. Всем может быть проблема и есть идеи, как это исправить?

Comments

[ValdikSS]

https://ru.wikipedia.org/wiki/Проблема_XY_(Ошибка_...

[Alexey Dmitriev]

используйте любой из онлайн генераторов allowedips, он вероятно исправит ваши ошибки и непонимание как работает tcpip

Answer 1

[ValdikSS]

Вероятно, необходимо добавить маршрут до 8.8.8.8/32 — DNS-резолвера, указанного в конфигурации.

В Linux, при использовании systemd-resolved, адрес DNS-резолвера привязывается к интерфейсу, а у вас нет маршрута до него через WireGuard. В Windows запросы выполняются через физический интерфейс (либо через несколько резолверов параллельно)
Прочитайте про проблему XY и больше не составляйте вопросы настолько размыто.

Comments

[Aleksandr Yurchenko]

сначала добавил, как вы сказали - все стало нормально. Но потом на редисе встретил вариант с добавлением , 8.8.8.8/32 в конец AllowedIPs и он тоже работает. То есть выглядит примерно так

192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32, 8.8.8.8/32

. Эти вариант эквивалентны?

P.S. я так же разбираюсь с таблицей маршрутизацией (что бы туда добавлять нужные правила), но хотелось бы иметь запасной вариант.

[ValdikSS]

Aleksandr Yurchenko, я не понимаю, что вы сделали, чтобы понять, эквивалентна эта настройка, или нет.
Сети 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32 все пересекаются, достаточно добавить один маршрут до 192.168.0.0/16.

[Aleksandr Yurchenko]

ValdikSS,

* В таком виде не работало

13.107.0.0/16,104.18.0.0/16,104.21.25.25/32,172.64.0.0/16,172.67.222.11/32,173.194.222.198/32

* В таком виде стало работать

13.107.0.0/16,104.18.0.0/16,104.21.25.25/32,172.64.0.0/16,172.67.222.11/32,173.194.222.198/32,8.8.8.8/32

Больше я ничего не менял. Изменения в резолвере откатил на исходный.

[ValdikSS]

Aleksandr Yurchenko, в чём ваш вопрос?

[Aleksandr Yurchenko]

Вариант который вы предложили и этот вариант - эквивалентны или нет?

[ValdikSS]

Aleksandr Yurchenko, я и имел в виду добавление 8.8.8.8/32 в AllowedIPs. Вы всё сделали правильно.

Answer 2

[Дмитрий]

Блок AllowedIPs подразумевает разрешенные адреса сетей или хостов, с которых можно подключаться. В вашем случае 192.168.1.1/16 или/24 не является валидным адресом сети или хоста. Вариант с маской /32 имеет право на жизнь, но раз это адрес хоста, может быть wireguard ждет его без маски, просто 192.168.1.1

Comments

[Aleksandr Yurchenko]

IP я привел для примера. Вот перечень: 13.107.0.0/16, 104.18.0.0/16, 104.21.25.25/32, 172.64.0.0/16, 172.67.222.11/32, 173.194.222.198/32. По большей части здесь openai + его cdn.

Меня смущает одно, почему на Windows проблем нет никаких, а на Linux дистрибутивах проблема имеется. Причем даже если я укажу 1 ip с произвольной маской: 13.107.0.0/{16,24,32} - не то что vpn нет, интернет отваливается. Все работает корректно только при 0.0.0.0/0

[Дмитрий]

Вы кажется неправильно понимаете смысл этой настройки. Зачем open ai и cdn подключаться к вашему wireguard? Это не список куда ходить, а кто может поднять туннель с вашим сервером. Например ваш домашний комп. Вряд ли у него адрес в том же диапазтне, что и у ooen ai

[Aleksandr Yurchenko]

давайте я перефразирую. Мне нужно реализовать VPN только на нескольких сайтах. С добавлением в данную секцию нужных мне ip c маской в рамках ОС я решил свою проблему, сейчас пытаюсь решить её в рамках Linux и у меня не выходит.

Давайте приведу пример:

1. site1.com (192.168.01) + у него свои cdn где периодически меняется ip (последняя группа)
2. site2.com (192.168.02) + у него свои cdn где периодически меняется ip (последняя группа)
3. site3.com (192.168.03) + у него свои cdn где периодически меняется ip (последняя группа)

Нужно, что бы VPN работало только на этих сайтах. Подскажите пожалуйста, как это реализовать?

[Дмитрий]

Это вам на клиенте надо прописать маршруты до тех самых сетей

13.107.0.0/16, 104.18.0.0/16, 104.21.25.25/32, 172.64.0.0/16, 172.67.222.11/32, 173.194.222.198/32

через ваш wireguard

[Aleksandr Yurchenko]

Дмитрий, Поправьте, если я не правильно вас понял.
Wireguar мне выдает провайдер, подключив услугу я имею конфиг приведенный выше (где нули), я не имею доступ к серверу. На клиенте я это и прописываю. В

• Windows это приложение wireguard (импортирую конфигурацию) - все работает (и с нулями и со списком нужных мне ip)
  
• Fedora 40 / Ubuntu 24.04 (почему я привожу версии, потому что с этих версий ненадо ставить никаких сервисов, импортировать конфиг можно через настройки) - там конфигурация с 0.0.0.0/0 - работает, если я меняю на нужный мне список ip - отваливается интернет
  

[Дмитрий]

Как известно, линукс система глупая - делает ровно то, что написал человек.
В случае клиентского конфига, в пункте AllowedIPs должен быть адрес сервера wireguasrd, но для того чтобы не запариваться, хватает и 0.0.0.0/0
Для решения вашей задачи, нужно писать маршруты, как я уже сказал выше.
Кстати, вы проверьте, при списке нужных вам адресов в конфиге, весь ли трафик на винде заворачивается в туннель или только эти адреса.

[Aleksandr Yurchenko]

Дмитрий, мысль уловил, спасибо за совет. Попробую и отпишусь.

[ValdikSS]

Дмитрий,

Вы кажется неправильно понимаете смысл этой настройки.

Боюсь, это вы запутались: AllowedIPs задаёт правила внутренней маршрутизации внутри мультипользовательского туннеля, а также добавляет маршруты в таблицу маршрутизации ОС.
Он не настраивает какие-либо правила доступа для подключения к туннелю.

[Drno]

Aleksandr Yurchenko, ubuntu22 еще рано использовать в прод..
просто ради интереса - проверьте на 22й и в консоли, по нормальному

Answer 3

[Drno]

Ну если я правильно понимаю, Вы хотите завернуть только пакеты для Chat внутрь ВПН

spoiler

Параметр `AllowedIPs` в конфигурации WireGuard выполняет две функции¹:

1. **Добавляет маршрут к указанным сетям**. То есть пакеты, адресованные к 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32, будут маршрутизироваться через интерфейс WireGuard к этому пиру¹.

2. **Разрешает пакеты с исходными IP-адресами 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32 маршрутизироваться от данного пира по интерфейсу WireGuard**¹. Любой пакет от данного пира с исходным IP-адресом, который не указан в `AllowedIPs`, будет отброшен¹.

Это не заменяет брандмауэр, но служит важной частью модели безопасности WireGuard¹. Если вы хотите маршрутизировать все через пир, настройте параметр `AllowedIPs` следующим образом: `AllowedIPs = 0.0.0.0/0, ::/0`. Это указывает WireGuard, что все адреса IPv4 (`0.0.0.0/0`) и все адреса IPv6 (`::/0`) должны быть маршрутизированы через пир¹.

Bing

Наверно надо еще посмотреть что то насчет правильных маршрутов в linux \ dns
Точно пропадает именно интернет, а не DNS ?
проверить можно с помощью ping до google.com и 8.8.8.8

Answer 4

[Сергей]

а ты разрешить туннельные адреса не пробовал для начала? а то у тебя в туннеле 10-я сеть а разрешаешь 192.168/16 как то странновато )))

Answer 5

[KuronekoSeon]

Нужно просто убрать строку DNS = 8.8.8.8 из секции [Interface], и тогда получите то, что вы хотите.

[Interface]
PrivateKey = ...............
Address = 10.138.98.2/32

[Peer]
PublicKey = ...............
AllowedIPs = 192.168.1.1/16, 192.168.1.1/24, 192.168.1.1/32
Endpoint = 146.0.78.177:37956