Задать вопрос

sasha300

Комментарии

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Добрый вечер, с наступившим НГ!
    Вернулся с праздников, притащил из офиса Mikrotik c OpenWRT, теперь дома смогу оперативно ковырять оба роутера.
    Вероятно, проще будет сбросить роутеры, импортировать конфиги WG через Luci и пройтись по галочкам.

    Оба роутера сброшены до дефолта и на обоих заново перенастроил Wireguard клиенты. Теперь безо всяких точечных маршрутизацией, весь трафик идет через VDS. Но опять же, комп, который находиться под одним роутером, не может подрубиться по внутреннему адресу Wireguard другого роутера. Опять же, на телефоне интернет через ОПСОС-а, включаю Wireguard клиент - могу подключиться к обоим роутерам по внутренним ip. В общем все то же, когда на роутерах была настроена точечная маршрутизация.

    Ну и вообще logread -f и заходить в админку

    Запустил на одном роутере logread -f, с компа, который подключен к другому роутеру пытаюсь зайти в админку роутера, logread -f чист, ничего не выдает.

    Можно использовать iperf3:
    iperf3 -s на одном, iperf3 -c 10.7... на другом

    На роутере, к которому пытаюсь подключиться, запустил iperf3 -s,
    на другом запускаю iperf3 -c 10.7.0.2
    и получаю вывод:
    spoiler
    root@OpenWrt:~# iperf3 -c 10.7.0.2
Connecting to host 10.7.0.2, port 5201
[  5] local 10.7.0.4 port 53522 connected to 10.7.0.2 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  0.00 Bytes  0.00 bits/sec    1   1.34 KBytes       
[  5]   1.00-2.00   sec  0.00 Bytes  0.00 bits/sec    1   1.34 KBytes       
[  5]   2.00-3.00   sec  0.00 Bytes  0.00 bits/sec    1   1.34 KBytes       
[  5]   3.00-4.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   4.00-5.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   5.00-6.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   6.00-7.00   sec  0.00 Bytes  0.00 bits/sec    1   1.34 KBytes       
[  5]   7.00-8.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   8.00-9.00   sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
[  5]   9.00-10.00  sec  0.00 Bytes  0.00 bits/sec    0   1.34 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  0.00 Bytes  0.00 bits/sec    4             sender
[  5]   0.00-10.16  sec  0.00 Bytes  0.00 bits/sec                  receiver

iperf Done.
root@OpenWrt:~#


    Вы писали, что юзается аналогичная схема, устройства одного роутера успешно подключаются к другому роутеру?
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    В OpenWRT есть готовое решение для точечной маршрутизации, называется PBR: luci-app-pbr.

    luci-app-pbr на роутер установил, ставлю wireguard client, там их множество:
    spoiler
    675f164b4b057883054106.png

    Ставить luci-proto-wireguard?
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    PiVPN делает QR для мобилок прямо в терминале

    генерирует файлы конфигов для импорта на клиентские устройства.

    Скрипт https://github.com/Nyr/wireguard-install аналогично показывает QR код и генерирует файлы конфигов клиента, сохраняя в директории /root
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Насколько я знаю, для VNC нужна доступность по IP.

    Имеется ввиду присутствие белого IP?

    1. Про RealVNC не понял. Используйте Anydesk

    RealVNC имеет крутую фишку - можно подключить до 3-х устройств (раньше было до 5) в качестве связной точки используется их сервер и успешно подключаться к устройствам, вне зависимости от наличия белого IP. Проходит такие NAT, как мобильный оператор!
    Хотя Anydesk тоже предоставляет такой же функционал. В общем RealVNC юзаю со времен RPi B+, поэтому использую его, если у Anydesk нет ограничений по количеству устройств, то несомненно последняя лучше и имеет смысл использовать его..

    В OpenWRT есть готовое решение для точечной маршрутизации, называется PBR: luci-app-pbr

    Интересное решение, спасибо за вектор!

    Вероятно, проще будет сбросить роутеры, импортировать конфиги WG через Luci и пройтись по галочкам

    Скорей всего так и поступлю. Ничто же не мешает сделать бекапы и попробовать это решение, а если не зайдет - восстановить настройки из бекапа.

    В итоге:
    - VDS (10.7.0.1) не трогаю
    -
    сбросить роутеры, импортировать конфиги WG через Luci и пройтись по галочкам
    домашний роутер перенастрою сегодня
    - завтра настраиваю рабочий роутер
    - проверяю доступность роутеров из разных локалок
    - в конце ставлю
    готовое решение для точечной маршрутизации, называется PBR: luci-app-pbr

    Вроде алгоритм составлен.
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    ogread -f и заходить в админку

    Перед началом экспериментов черт дернул рестартануть роутер 10.7.0.2, теперь не могу подключиться ни к роутеру (черзе SSH), ни к компу (через RelVNC).

    Вот топология сети (вдруг поможет разобраться):
    - на VDS установлен Wireguard c помощью этого скрипта: Nyr/wireguard-install https://github.com/Nyr/wireguard-install
    - на клиентах (роутеры 10.7.0.2 и 10.7.0.4 с OpenWRT) установлен Wireguard c помощью вот этого скрипта:
    sh <(wget -O - https://raw.githubusercontent.com/itdoginfo/domain-routing-openwrt/master/getdomains-install.sh)

     Подробнее на Хабре: https://habr.com/ru/articles/767464/
    Фишка в том, что это решение дает точечную маршрутизацию, дабы не гонять весь трафик через VDS.

    В общем что могу сказать - почему отвалился роутер и интернет, буду разбираться, ну а с
    Ну и вообще logread -f и заходить в админку

    и с
    Можно использовать iperf3:
    iperf3 -s на одном, iperf3 -c 10.7... на другом

    буду разбираться, когда получу доступ к роутеру, т.е. уже завтра..
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Увеличить размер хранимого лога до 640 кб в настройках и таки посмотреть их. Для снижения потока данных можно запускать logread -f и мониторить только новые строчки, пуская пакеты

    Из офиса, запустив команду logread, в терминале появился вывод, но он отобразился мгновено, тем самым там нет миллионов строк.

    В офисе (локалка 192.168.1.0/24, роутер: 10.7.0.2): на компе активировал RealVNC, теперь, даже при отвале роутера по SSH, могу подключаться к роутеру через локальный комп.
    Из дома (локалка 192.168.0.0, роутер 10.7.0.4): подключась к удаленному роутеру (10.7.0.2) и запускаю заветную команду logread, он отвалился, захожу удаленно через RealVNC, работаю через удаленный комп (который в локалке 192.168.0.0/24), получил вывод:
    Sat Dec 14 18:35:27 2024 daemon.info dnsmasq-dhcp[1]: DHCPREQUEST(br-lan) 192.168.1.140 00:22:4d:4f:a9:17
    Sat Dec 14 18:35:27 2024 daemon.info dnsmasq-dhcp[1]: DHCPACK(br-lan) 192.168.1.140 00:22:4d:4f:a9:17 DQ67SW
    Sat Dec 14 18:46:54 2024 authpriv.info dropbear[4764]: Child connection from 10.7.0.4:51636
    Sat Dec 14 18:47:10 2024 authpriv.notice dropbear[4764]: Password auth succeeded for 'root' from 10.7.0.4:51636
    Sat Dec 14 18:48:14 2024 authpriv.info dropbear[4775]: Child connection from 192.168.1.140:2165
    Sat Dec 14 18:48:20 2024 authpriv.info dropbear[4775]: Exit before auth from <192.168.1.140:2165>: Exited normally
    Sat Dec 14 18:48:27 2024 authpriv.info dropbear[4776]: Child connection from 192.168.1.140:2166
    Sat Dec 14 18:48:45 2024 authpriv.notice dropbear[4776]: Password auth succeeded for 'root' from 192.168.1.140:2166
    Sat Dec 14 18:52:15 2024 authpriv.info dropbear[4764]: Exit (root) from <10.7.0.4:51636>: Disconnect receive
    Sat Dec 14 18:52:21 2024 authpriv.info dropbear[4795]: Child connection from 10.7.0.4:38634
    Sat Dec 14 18:52:38 2024 authpriv.notice dropbear[4795]: Password auth succeeded for 'root' from 10.7.0.4:38634
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Малеха был завал, опять стал разбираться с удаленным подключением к удаленному рабочему роутеру 10.7.0.2 (нахожусь в локалке 192.168.0.0/24).

    посмотрите в логе (ssh logread),

    опять подключаюсь по ssh к роутеру 10.7.0.2, запускаю:
    logread
    и связь с ним пропадает. Дальшейшее переподключение к успеху не приводи, выдает:
    ssh: connect to host 10.7.0.2 port 22: Connection timed out

    Пробую с локальным роутером 10.7.0.4 - там logread отображает инфу и успешно завершает команду (терминал ожидает ввода новой команды).
    Сегодя все равно поеду на работу, ребутну рабочий роутер, но не понятно, какого приосходит такой жесткий отвал от данной команды..
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    @figachit
    Здравствуйте! Так Вы напишите ник телеги? А то мне уже пару человек написало, представившись вами..
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Где мой тон?

    У Вас в профиле написано: пользователь ничего не рассказал о себе, а мне нужен никнейм телеги.
    В разделе: Контакты => Telegram. К примеру, у меня так: https://telegram.me/sasha300
    Ну или тут укажите логин Телеграм.
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Походу я обломался - запустил по ssh logread, смотрю, сеанс завис, открыл новую сессию, запускаю top - снова завис. А после reboot-a не могу подрубиться ни с локалки, ни с телефона.
    Завтра на работе уже посмотрю, что там с роутером случилось..
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    хотя я не понимаю зачем он мне и как кинуть

    в профиле просьба указать ник Telegram, по никнейму можно перевести.
    Можно оплачивать провайдеров, VDS и т.п., в крайнем случае перевести в рубли
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса

    Ну и какие у вас ещё вопросы?)

    Получается, что доступ по ssh был изначально, а у меня не открывался веб интерфейс и думал, что к роутерам с противоположной локалки не подключиться.
    Будем считать, что вопрос разобран, жду реквизиты, куда отправить Тон.
    Я пока что буду разбираться, какого Luci не пускает меня на веб морду с другой локалки, при том, что с телефона, при включенном WG клиенте, подключение проходит успешно.
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    можно попробовать зайти через ssh, скорее всего успешно получится

    успешно подключился по ssh к роутеру 10.7.0.2, находясь в сети 192.168.0.0/24 роутера 10.7.0.4
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Спасибо за ответ!

    Но чтобы не возиться с L7, отслеживайте именно пинги: tcpdump -i wg0 icmp,

    Так я сегодня утром пинговал и пинги успешно проходят. Заворачивается http, может лучше так сделать: tcpdump -i wg0 tcp port 80 ?

    Так нельзя. Во-первых, маски перекрываются, во-вторых, с мастер-роутера должно быть только 10.7.0.2/32:

    я уже это понял, когда инет отвалился)

    Уже ближе к вечеру смогу продолжить эксперименты, сейчас, к сожалению, текучку надо делать..
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Ну и в конце на роутере 10.7.0.4 запустил: tcpdump -i wg0 tcp port 80
    и из этой подсети с компа пробую из браузера подключиться в веб морде OpenWRT роутера 10.7.0.2 - безуспешно.

    Вот что выдает tcpdump на роутере 10.7.0.4:
    root@homeOpenWRT:~# tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
05:33:42.589697 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [S], seq 1546777686, win 64240, options [mss 1380,sackOK,TS val 3923878255 ecr 0,nop,wscale 7], length 0
05:33:42.712193 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [S.], seq 64876336, ack 1546777687, win 64296, options [mss 1380,sackOK,TS val 4196599335 ecr 3923878255,nop,wscale 4], length 0
05:33:42.713386 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 1, win 502, options [nop,nop,TS val 3923878380 ecr 4196599335], length 0
05:33:42.713422 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [P.], seq 1:391, ack 1, win 502, options [nop,nop,TS val 3923878381 ecr 4196599335], length 390: HTTP: GET /cgi-bin/luci/ HTTP/1.1
05:33:42.843177 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [.], ack 391, win 4010, options [nop,nop,TS val 4196599470 ecr 3923878381], length 0
05:33:43.141650 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [P.], seq 1:77, ack 391, win 4010, options [nop,nop,TS val 4196599770 ecr 3923878381], length 76: HTTP: HTTP/1.1 403 Forbidden
05:33:43.169625 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923878837 ecr 4196599770], length 0
05:33:43.280318 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [P.], seq 2813:3210, ack 391, win 4010, options [nop,nop,TS val 4196599914 ecr 3923878837], length 397: HTTP
05:33:43.375813 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923879043 ecr 4196599770,nop,nop,sack 1 {2813:3210}], length 0
05:33:53.380778 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923889046 ecr 4196599770,nop,nop,sack 1 {2813:3210}], length 0
05:33:53.516997 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [.], ack 391, win 4010, options [nop,nop,TS val 4196610136 ecr 3923879043], length 0
05:34:03.169012 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [FP.], seq 3210:3215, ack 391, win 4010, options [nop,nop,TS val 4196619799 ecr 3923879043], length 5: HTTP
05:34:03.240257 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923898907 ecr 4196599770,nop,nop,sack 1 {2813:3216}], length 0
05:34:13.285034 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923908950 ecr 4196599770,nop,nop,sack 1 {2813:3216}], length 0
05:34:13.419437 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [.], ack 391, win 4010, options [nop,nop,TS val 4196630057 ecr 3923898907], length 0
^C
15 packets captured
15 packets received by filter
0 packets dropped by kernel
root@homeOpenWRT:~#


    Когда запрос пошел на порт 10.7.0.4.47506, то вылезает "Forbidden", хотя на роутере 10.7.0.2, для интерфейста wg, все цепочки выставлены на "Accept":
    spoiler
    6757d51b2c99c719775644.jpeg
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Также ранее обманул: на роутере OpenWRT AllowedIPs для пира должен стоять 10.7.0.0/24. Это нужно, чтобы при автоматическом создании маршрутов до VPS заруливался только этот трафик, а интернет шёл мимо VPS.

    Зашел на роутер 10.7.0.4, в настройках wireguard по пути /etc/config/network сл. настройки:
    config wireguard_wg0
        option name 'wg0_client'
        option public_key 'hide'
        option preshared_key 'hide'
        option route_allowed_ips '0'
        option persistent_keepalive '25'
        option endpoint_host 'hide'
        option allowed_ips '0.0.0.0/0'
        option endpoint_port 'hide'

    option allowed_ips '0.0.0.0/0' поменял на option allowed_ips '10.7.0.0/24'
    На роутере 10.7.0.2 в /etc/config/network, было аналогично, тоже поменял на option allowed_ips '10.7.0.0/24'
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Петровский,
    Здравствуйте!
    на роутере OpenWRT AllowedIPs для пира должен стоять 10.7.0.0/24

    В вашем конфиге: AllowedIPs = 10.7.0.2/32, 192.168.2.0/24, у меня, для клиентского роутера, было так (причем 0.0.0.0/24 выставил я, чтобы трафик мог ходить куда угодно): AllowedIPs = 10.7.0.4/32, 0.0.0.0/24
    Ну ок, поменял у всех пиров в глобальном конфиге значение, изменив с 0.0.0.0/24 на 10.7.0.0/24, получилось вот так:
    [Interface]
Address = 10.7.0.1/24
PrivateKey = hide
ListenPort = hide

# BEGIN_PEER Mikrotik
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.2/32, 10.7.0.0/24
# END_PEER Mikrotik
# BEGIN_PEER smarfone
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.3/32, 10.7.0.0/24
# END_PEER smartphone
# BEGIN_PEER Xiaomi
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.4/32, 10.7.0.0/24
# END_PEER Xiaomi


    используйте tcpdump -i wg0 icmp и пингайте

    На роутере 10.7.0.4 запуситил tcpdump -i wg0 icmp
    С компа из сети 192.168.0.0/24 набрал ping 10.7.0.2 пинги успешно идут.

    На роутере 10.7.0.4 команда tcpdump -i wg0 icmp выдает:
    root@homeOpenWRT:~# tcpdump -i wg0 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
05:10:39.909473 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 1, length 64
05:10:40.033296 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 1, length 64
05:10:40.910358 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 2, length 64
05:10:41.041817 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 2, length 64
05:10:41.911119 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 3, length 64
05:10:42.034044 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 3, length 64
05:10:42.911628 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 4, length 64
05:10:43.033493 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 4, length 64
05:10:43.909909 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 5, length 64
05:10:44.043529 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 5, length 64
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Админка Luci активно кешируется. У вас к ней вообще доступа нет,

    прикольненько
    завтра, на Ubuntu 22.04 поставлю Chrome и вырублю кэш и прочее, может даже appimage качну, чтобы не было гемора с историей
    Смотрите tcpdump, отправляя запрос из локалки

    Спасибо за вектор! Уже завтра вечером смогу дальше экспериментировать..

    p.s.: не против, если в знак благодарности скину TONCoin, а то я бы не допер, что хешируется начальная страница и доступа к ротеру из другой локалке вобще нет..
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Где не туда? Вы получили веб-страницу админки роутера

    как бы да, но после этого окна:
    6755ec9a1a158413871798.png
    через некоторе время выдает:

    The connection has timed out

    The server at 10.7.0.2 is taking too long to respond.

    The site could be temporarily unavailable or too busy. Try again in a few moments.
    If you are unable to load any pages, check your computer’s network connection.
    If your computer or network is protected by a firewall or proxy, make sure that Firefox is permitted to access the web.
    Написано

  • Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

    @sasha300 Автор вопроса
    Петровский,
    вот мои действия:
    на VDS запускаю:
    tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

    затем на роутере с ip 10.7.0.4 (домашний роутер) запускаю: 
    root@homeOpenWRT:~# curl 10.7.0.2
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
	<head>
		<meta http-equiv="Cache-Control" content="no-cache, no-store, must-revalidate" />
		<meta http-equiv="Pragma" content="no-cache" />
		<meta http-equiv="Expires" content="0" />
		<meta http-equiv="Expires" content="Thu, 01 Jan 1970 00:00:00 GMT" />
		<meta http-equiv="refresh" content="0; URL=cgi-bin/luci/" />
		<style type="text/css">
			body { background: white; font-family: arial, helvetica, sans-serif; }
			a { color: black; }

			@media (prefers-color-scheme: dark) {
				body { background: black; }
				a { color: white; }
			}
		</style>
	</head>
	<body>
		<a href="cgi-bin/luci/">LuCI - Lua Configuration Interface</a>
	</body>
</html>
root@homeOpenWRT:~#

    перехожу на VDS и вижу логи:
    root@yhhf-57gffvghytf:~# tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
19:50:12.102813 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264169854 ecr 0,nop,wscale 5], length 0
19:50:12.102843 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264169854 ecr 0,nop,wscale 5], length 0
19:50:13.154094 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264170873 ecr 0,nop,wscale 5], length 0
19:50:13.154112 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264170873 ecr 0,nop,wscale 5], length 0
19:50:15.200444 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264172953 ecr 0,nop,wscale 5], length 0
19:50:15.200462 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264172953 ecr 0,nop,wscale 5], length 0
19:50:15.267481 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [S.], seq 2375035090, ack 903511019, win 64296, options [mss 1380,sackOK,TS val 2913740948 ecr 1264172953,nop,wscale 4], length 0
19:50:15.267517 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [S.], seq 2375035090, ack 903511019, win 64296, options [mss 1380,sackOK,TS val 2913740948 ecr 1264172953,nop,wscale 4], length 0
19:50:15.690047 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [P.], seq 1:72, ack 1, win 2027, options [nop,nop,TS val 1264173443 ecr 2913740948], length 71: HTTP: GET / HTTP/1.1
19:50:15.690065 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [P.], seq 1:72, ack 1, win 2027, options [nop,nop,TS val 1264173443 ecr 2913740948], length 71: HTTP: GET / HTTP/1.1
19:50:15.758196 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [.], ack 72, win 4015, options [nop,nop,TS val 2913741436 ecr 1264173443], length 0
19:50:15.758215 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [.], ack 72, win 4015, options [nop,nop,TS val 2913741436 ecr 1264173443], length 0
19:50:15.758225 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 1:42, ack 72, win 4015, options [nop,nop,TS val 2913741437 ecr 1264173443], length 41: HTTP: HTTP/1.1 200 OK
19:50:15.758229 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 1:42, ack 72, win 4015, options [nop,nop,TS val 2913741437 ecr 1264173443], length 41: HTTP: HTTP/1.1 200 OK
19:50:15.809158 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 42, win 2026, options [nop,nop,TS val 1264173562 ecr 2913741437], length 0
19:50:15.809173 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 42, win 2026, options [nop,nop,TS val 1264173562 ecr 2913741437], length 0
19:50:15.894480 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 42:1061, ack 72, win 4015, options [nop,nop,TS val 2913741555 ecr 1264173562], length 1019: HTTP
19:50:15.894497 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 42:1061, ack 72, win 4015, options [nop,nop,TS val 2913741555 ecr 1264173562], length 1019: HTTP
19:50:15.946894 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1061, win 1995, options [nop,nop,TS val 1264173698 ecr 2913741555], length 0
19:50:15.946914 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1061, win 1995, options [nop,nop,TS val 1264173698 ecr 2913741555], length 0
19:50:15.946926 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [F.], seq 72, ack 1061, win 2006, options [nop,nop,TS val 1264173699 ecr 2913741555], length 0
19:50:15.946929 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [F.], seq 72, ack 1061, win 2006, options [nop,nop,TS val 1264173699 ecr 2913741555], length 0
19:50:16.017425 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [F.], seq 1061, ack 73, win 4015, options [nop,nop,TS val 2913741699 ecr 1264173699], length 0
19:50:16.017443 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [F.], seq 1061, ack 73, win 4015, options [nop,nop,TS val 2913741699 ecr 1264173699], length 0
19:50:16.073545 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1062, win 2006, options [nop,nop,TS val 1264173821 ecr 2913741699], length 0
19:50:16.073559 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1062, win 2006, options [nop,nop,TS val 1264173821 ecr 2913741699], length 0
^C
26 packets captured
26 packets received by filter
0 packets dropped by kernel
root@yhhf-57gffvghytf:~#


    из них вижу, что заголовок проходит, а дальше сам пакет уходит не туда
    Написано