Сервер vps с wireguard как настроить маршруты?

Question

[Кирилл]

Привет! на wps имеется ubuntu 24.04.1 LTS, настроен wg, подключено несколько peer, все вроде нормально работает, но захотелось поставить zabbix для контроля устройств стоящими за peer, но вот не пойму почему сервер не пингует адреса пиров?
настройки:

[Interface]
Address = 10.66.66.1/24,fd42:42:42::1/64
ListenPort = 49964
PrivateKey = <....>

PreUp = sysctl -w net.ipv4.ip_forward=1
PostUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
#
PostUp = iptables -I INPUT -p udp --dport 49964 -j ACCEPT
PostUp = iptables -I FORWARD -i ens3 -o wg0 -j ACCEPT
PostUp = iptables -I FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostUp = ip6tables -I FORWARD -i wg0 -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = sysctl -w net.ipv4.ip_forward=0
PostDown = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
PostDown = iptables -D INPUT -p udp --dport 49964 -j ACCEPT
PostDown = iptables -D FORWARD -i ens3 -o wg0 -j ACCEPT
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE
PostDown = ip6tables -D FORWARD -i wg0 -j ACCEPT
PostDown = ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

### Client
[Peer]
PublicKey = <....>
PresharedKey = <....>
AllowedIPs = 10.66.66.2/32,fd42:42:42::2/128

запрос: curl -Is 10.66.66.1 | head -1
ответ: HTTP/1.1 200 OK

запрос curl -Is 10.66.66.2 | head -1
ответа нет :(
vpn при этом нормально работает, инет через него идет

Comments

[Евгений Хлебников]

Тут стоит задать уточняющие вопросы:
вы пишете "сервер не пингует" а в тестах приводите примеры c curl
пинги - это icmp протокол. Разрешено ли в правилах файрвола на хосте 2 отвечать на icmp?
curl ходит по http (в вашем случае запрашивается 80й TCP порт). вопросы те же: а разрешен ли доступ к 80-му порту в правилах firewall?

[ABATAPA]

Выше Вам уже правильно написали про различия между ICMP и TCP.
Вам нужно, во-первых, проверить правила файервола на втором хосте. К слову, iptables считается устаревшим и заменён на nftables с вреппером для совместимости.
Во-вторых, всегда нужно проверять с обеих сторон "пуля вылетела / пуля прилетела".
Для этого запустите
tcpdump -n -i имя_устройства icmp
или для tcp/80
tcpdump -n -i имя_устройства port 80

и на источнике, и на получателе, и посмотрите, прилетают ли ICMP-пакеты (или TCP на порт 80) на принимающей стороне. Если да — смотрите, есть ли ответы и долетают ли они до отправителя. Если пакетов на получателе не видно — проверяйте маршруты/iptables/настройки Web-сервера (для tcp/80). Можно повторить с сброшенными настройками файервола.
Кроме того, в Вашем случае Вы для чего-то делаете MASQUERADE для всех пакетов, уходящих через wg0, хотя, по идее, это нужно делать только на "выходе" на ens3. Если у Вас только 10.66.66.0/24 (нет других IP-сетей в локальной сети), то это явно лишнее. Если у Вас есть другие IP-сети и они должны быть доступны, то лучше настроить маршрутизацию (добавив сети в AllowedIPs и правила файервола).

Начните с ping и tcpdump — всё сразу станет понятно.

[Кирилл]

спасибо за подсказки, почему то я tcpdump не пользовался, а зря))
в итоге была ошибка на стороне клиента в ip/address вписал вместо 10.66.66.2/24 было 32