Поможете разобраться в принципе маршрутизации в схеме подключения?

Question

[Евгений Воробьев]

Имеется 2 сети, соединенных через Wireguard.
[192.168.11.0/24] <-...
...-> [router-192.168.11.1] <--> [192.168.11.3] ===@wg-10.1.3.0/24@=== [192.168.1.44] <--> [router-192.168.1.1] <-...
...-> [192.168.1.0/24]

192.168.11.3 и 192.168.1.44 это тачки на debian.

На 192.168.11.3 такие правила:
-A FORWARD -i wg0s -j ACCEPT
-A FORWARD -i wg0s -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o wg0s -m state --state RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 10.1.3.0/24 -o br0 -j SNAT --to-source 192.168.11.3

На 192.168.1.44 такие правила:
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i wg0 -o enp4s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp4s0 -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE

Прикол в том, что с самого 192.168.11.3 я могу пинговать 192.168.1.72 (к примеру) и пакеты туда приходят от IP тачки 192.168.1.44 (подменяется IP), а с подсети за ним (192.168.11.0/24) пакеты уже идут под своими IP (не подменяясь).

Добавление правила на 192.168.1.44 решает проблему:
-A POSTROUTING -s 192.168.11.0/24 -o enp4s0 -j MASQUERADE

Почему так? И это так и должно быть или можно сделать поизящнее?

Comments

[Alexey Dmitriev]

если у вас обе сети локальные - зачем вы используете NAT? Почему не маршрутизируете их напрямую?

[Евгений Воробьев]

Alexey Dmitriev, потому что вторая сеть .1.0/24 это сеть компании и там микротики отбрасывают пакеты с других подсетей (моя домашняя .11.0/24). Поэтому надо маскировать пакеты под IPшник компа вайргард-ноды (192.168.1.44).

[rionnagel]

используйте tcpdump для диагностики как что откуда и зачем.

[Евгений Воробьев]

rionnagel, проверял им. Как раз и им увидел что пакеты icmp уходят от IP ноды-вайргард левой сети (192.168.11.3),

[rionnagel]

Евгений Воробьев, ок, нарисуйте что куда ходит и что не ходит и в чем проблема. Вдруг у вас всего лишь проблема с
net.ipv4.conf.all.rp_filter

[Alexey Dmitriev]

Евгений Воробьев, так работает MASQUERADE - подменяет адрес на адрес исходящего интерфейса, которым и является у вас wireguard

[Евгений Воробьев]

Alexey Dmitriev, так верно... но тогда на 192.168.1.44 и должны подменяться адрес пакетов из сети 192.168.11.0/24 на адрес 192.168.1.44. А они не подменяются. Ведь SNAT же есть. -A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE

[Alexey Dmitriev]

Почему должны? Где у вас правило для подмены адресов 192.168.11.0/24 на 192.168.1.44?

[Евгений Воробьев]

На 192.168.1.44 такие правила:
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i wg0 -o enp4s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp4s0 -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE

Пакеты с 192.168.11.0/24 приходят же с интерфейса 10.1.3.1

[Alexey Dmitriev]

Евгений Воробьев, я продолжаю не понимать - почему вы в FORWARD оперируете wg0 интерфейсом, а в POSTROUTING переходите на ethernet интерфейс.
Как видно из названия таблицы - это правило применяется после принятия рещения о маршруте и маскирует адресом интерфейса ethernet пакеты выходящие через ethernet.

[Евгений Воробьев]

Alexey Dmitriev, потому что я ламер и использую то, что в инструкциях к настройке сервисов указано. Данные правила были указаны в гайдах по openvpn и я их "перевел" на wg.

Да и в гайдах на wg указаны везде такие строчки:
PostUp = iptables -A FORWARD -i %i -j ACCEPT;iptables -t nat -A POSTROUTING -s 10.1.3.0/24 -o br0 -j SNAT --to-source x.x.x.x
PostDown = iptables -D FORWARD -i %i -j ACCEPT;iptables -t nat -D POSTROUTING -s 10.1.3.0/24 -o br0 -j SNAT --to-source x.x.x.x

Если это криво и косо - прошу подсказать как верно и, желательно, почему.

[Alexey Dmitriev]

Евгений Воробьев, как у вас получилось что у вас подсеть 192.168.11.0 c обеих сторон роутера 192.168.11.1?
И тот же вопрос про подсеть 192.168.1.0 и роутер 192.168.1.1

Answer 1

[shurshur]

Как написано - так и работает.

Вот, например, правило:

-A POSTROUTING -s 10.1.3.0/24 -o br0 -j SNAT --to-source 192.168.11.3

Оно должно подменять source у пакетов, прилетевших с адресов 10.1.3.0/24 на выходе в интерфейс br0. Однако если мы пингуем 192.168.1.72, обратно пакеты приходят с адреса 192.168.1.72 и нигде не подменяются на 10.1.3.0/24. А, собственно, зачем их подменять?

Решать задачу надо иначе. Надо или сделать SNAT (MASQUERADE) на 192.168.1.44 с адресов не только 10.1.3.0/24, но и 192.168.11.0/24 (в этом случае в wg-туннеле будут ходить адреса 192.168.11.0/24):

192.168.1.44:
-A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE
-A POSTROUTING -s 192.168.11.0/24 -o enp4s0 -j MASQUERADE

Либо надо на 192.168.11.3 делать подмену в туннельные адреса, которые в свою очередь заменяются в местный IP уже на "той" стороне (в этом случае в туннеле будут ходить только адреса 10.1.3.0/24):

192.168.11.3:
-A POSTROUTING -o wg0 -j MASQUERADE

192.168.1.44:
-A POSTROUTING -s 10.1.3.0/24 -o enp4s0 -j MASQUERADE

Comments

[Евгений Воробьев]

Спасибо за доходчивый ответ. Кажется таким образом я проблему вчера и решил... но планы на настройку изменились. Идея прокидывать сеть компании через КЛИЕНТА на одном из компов в офисе отпалась. Сервер 192.168.11.3 будет подключаться как клиент к OVPN серверу в сети компании и маршрутизация будет между WG и OVPN. Думаю так правильнее)

[shurshur]

Евгений Воробьев, не очень понял, причём тут wg и ovpn одновременно, ну да ладно.

upd: уже нашёл новый вопрос на эту тему.