Zyxel Keenetic: настройкой 3proxy + wireguard?

Question

[Леха]

Всем привет.

Поставил 3proxy на KN-1011 и хочу заставить его перенаправлять трафик через поднятый wireguard, но уже 2й день бьюсь с конфигом и не могу заставить работать эту связку вместе.

На данный момент конфиг сокращен до предела:

daemon

#
config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg

#
log /var/log/3proxy.log

#
nscache 65535
nserver 8.8.8.8
nserver 4.4.4.4

#
internal 192.168.10.1
external 172.20.10.100

#
auth none
socks -p12345

192.168.10.1 - адрес ротора в локальной сети, 172.20.10.100 - статический адрес подключения wireguard

Если закомментить строку external, то прокс работает, но гонит все конечно же через дефолтное соединение с провом, а вот при попытке завернуть все через WG - облом:

...
240731194537.091 12345 00013 - 192.168.10.103:51910 5.255.255.242:443 0 0 0 CONNECT ya.ru:443
...

Как видно из строки лога - 13я ошибка "сбой подключения connect()" ( описание кодов ошибок )

Так же видел рецепт , но результатов он не дал. Не исключаю что я криворук. Подозреваю, что нужно где-то в интерфейсе кинетика указать маршрут или "разрешить" использовать WG интерфейс для подобных хотелок, но честно говоря - я уже иссяк. Заданные маршруты до конкретных узлов, прописанные в интерфейсе ротора - работают без нареканий.

ЗЫ.

Родной форум зукселей походу мертв, раз никто не может заапрувить тему больше суток.

Comments

[Drno]

форум зюкселя не мертв, но там вполне могут отвечать неделю...
на интерфейсе WG стоит галочка "использовать для выхода в интернет" ?
так же в фаерволе разрешите на этом интерфейсе траф TCP, UDP, IP

есть предположение что надо указывать не ЛОКАЛЬНЫЙ IP от WG, который Ваш клиент кинетик, а IP WG Сервера...!

[Леха]

Drno, не, галочка не стоит. Иначе бы весь трафф шел через VPN, а мне оно не надо. Для WG прописаны статические маршруты до целевых узлов, на которые надо ходить через тоннель и все.

Вот фаер я как-то пропустил в суматохе, возможно поможет, спасибо.

Ну а по поводу указания айпишника самого WG-сервера, я за прошедшее время что только не пробовал от отчаяния, так что думаю, что этот вариант уже проверен, но такие пропишу его в конфиг еще разок для успокоения совести.

[Drno]

Леха, если нет галочки, кинетик не включает NAT для интерфейса, ничего не удет работать.
нет не пойдет туда весь трафик, пока Вы не поставите WG в приоритете интерфейсов первым.
включайте галочку.. ставьте IP сервера Wg и проверяйте)

Answer 1

[Владимир Дубровин]

Тебе необходимо чтобы пакеты с адреса 172.20.10.100 на 0.0.0.0/0 уходили в соединение wireguard, для этого надо
- добавить соответствующий маршрут (если его нет)
- добавить source routing чтобы пакеты со 172.20.10.100 роутились туда

если не хочется возиться с source routing можно биндить 3proxy к интерфейсу (-DeИМЯ_ИНТЕРФЕЙСА в socks), но я бы рекомендовал source routing.

Comments

[Леха]

Шойтан! Пашет!

Огромное человеческое спасибо.

Рецептура:

daemon

#
config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg

#
log /var/log/3proxy.log

#
nscache 65535
nserver 8.8.8.8
nserver 4.4.4.4

#
internal 192.168.10.1

#
auth none
socks -Denwg0 -p12345