Wireguard (серве Ubuntu, посередине wifi router keenetic, пир osx) подключается, но не работает?

Question

[TSR2013]

Пытаюсь настроить VPN wireguard
У роутера включен проброс портов по tcp для ssh порта и udp для VPN порта
Как минимум tcp проброс 100% работает, так как я могу зайти на Ubuntu сервер.

Все запросы отваливаются по таймауту
Как можно хотя бы продиагностировать проблему?

Answer 1

[Дмитрий]

У вас оба объявленных хоста в одной сети сидят 10.27.190.0/24. При чем тут проброс портов на роутере мне неясно.
Как выглядит таблица маршрутов на клиенте? (route print или ip route)

Comments

[Дмитрий]

TSR2013, с сервером понятно, а на клиенте таблица маршрутов какая? Я правильно понял, что сеть 10.27.190.0/24 это wireguard? В таком случае подключения вообще не должно быть, т.к. сервер должен слушать на своем физическом интерфейсе, в вашем случае вайфай и адрес клиента тоже должен быть в этой сети

[Дмитрий]

TSR2013, вы принципиально замазали все роуты не относящиеся к wg? Если хотите траблшутинг - давайте полную информацию. По тому что я вижу - wg настроен неправильно и коннекта быть не может, т.к. надо сначала установить соединение, а потом поднимать wg. Если клиент и сервер в одной и той же сети - пробросы портов роутера по боку. По обрывочным данным - сервер имеет адрес 192.168.1.36, клиент должен иметь что-то похожее, например 192.168.1.236. Следовательно в конфиге сервера wg listen port - порт не роутера а сервера, скорее всего номера совпадают, а в конфиге клиента endpoint - должен быть адрес сервера 192.168.1.36 (если моё предположение об одной локальной сети верно).

[Дмитрий]

TSR2013, раз проблема в пинге сервера по wg, попробуйте дописать в строчку

PostUp = iptables -t nat -I POSTROUTING -o `ip route | awk '/default/ {print $5; exit}'` -j MASQUERADE

параметр -d !10.27.190.0/24

[Дмитрий]

TSR2013, Просто ваш построутинг заворачивает все обращения в маскарад, в том числе и в саму сеть wg и коннект пропадает. Поставьте пробел между ! и адресом сети, ошибка должна пропасть

[Дмитрий]

TSR2013, вы не туда перенесли восклицательный знак
-d ! 10.27.190.0/24
Попутно покажите traceroute 10.27.190.1
Кстати, только пинг не работает или ssh 10.27.190.1 тоже?

[Дмитрий]

TSR2013, форвардинг в sysctl включали? Вот по такой инструкции у вас все шаги пройдены?

[Дмитрий]

TSR2013, а что показывает traceroute 8.8.8.8?

[Дмитрий]

TSR2013, для пира Address не нужно делать с маской 32, он должен быть в одной адресной зоне с сервером, хотя бы 30 используйте, если будет клиентов больше - то и 24 не ошибка.
В конфиге сервера менять маску 32 в AllowedIPs не обязательно - это просто строго ограничивает возможные адреса С КОТОРЫХ можно подключиться. Если клиентов будет больше - можно будет маску расширять.