• Zarejestrowany: 2024-03-07
  • Posty: 2

Temat: Debian 11 Wireguard

Witam,
Założenie:
- osoba łączy sie z zewnątrz za pomoca VPN Wireguard do pulpitu zdalnego maszyny o ip 192.168.0.100
- powinna mieć dostęp tylko do hosta o ip 192.168.0.100
- korzysta ze swojego łącza jeśli chodzi o przeglądanie internetu

Jest postawiony contener z Debianem i Wireguard, na ta chwilę za pomocą tego połączenia mam dostęp do całej sieci 192.168.0.0/24

Sugerowałem się opisem Cezarego (Pozdrawiam), iż łączymy jakby dwa kompy za pomocą 1 kabla i na każdym z końców możemy ustawić do czego mają mieć dostęp przynajmniej tak to zrozumiałem.

Raczkuje w temacie proszę o wyrozumiałość i proszę o pomoc lub wskazówki.

poniższa konfiguracja odcina komunikację

## konfiguracja na debianie

[Interface]
PrivateKey = klucz..........
Address = 10.1.237.1/32
MTU = 1420
ListenPort = 51828

[Peer]
PublicKey = kucz..........
PresharedKey = klucz............
AllowedIPs = 10.1.237.4/32
AllowedIPs = 192.168.0.100/24


## konfiguracja na kliencie Windows

[Interface]
PrivateKey = klucz .....
Address = 10.1.237.3/32
DNS = 9.9.9.9, 149.112.112.112

[Peer]
PublicKey = klucz....
PresharedKey = klucz.....
AllowedIPs = 192.168.0.100.24
Endpoint = adresIP:51828

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,013

Odp: Debian 11 Wireguard

Allowedips to jedna linia nie dwie czy klika, adresy podajesz po przecinku.

Ponad to - jaki kontener z debianem i wiregaurd? To jest maszyna wirtualna i masz tam jakieś inne jeszcze adresy? Bo zaraz się okaże że jeszcze coś z firewallem/routingiem/czymś jeszcze musisz działać.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Bart_sz

  • Zarejestrowany: 2024-03-07
  • Posty: 2

Odp: Debian 11 Wireguard

Mam Proxmox a na nim wirtualne maszyny, środowisko testowe, czyli:
Router główny 192.168.0.1/24 na nim przekierowany port do kontenera z Wireguard 192.168.0.222/24,

W Proxmox na maszynie z Wireguard (kontener) karta sieciowa bridge, firewall jest wyłączony.

Po zalogowaniu do maszyny z Wiregurad 

root@VpnZdalny:~# ip add show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0@if33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether bc:24:11:11:8b:cf brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.0.222/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::be24:11ff:fe11:8bcf/64 scope link 
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.1.237.1/24 scope global wg0
       valid_lft forever preferred_lft forever 

root@VpnZdalny:/etc/wireguard# iptables -vL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Jeśli ustawie Wireguard

Serwer:

[Interface]
Address = 10.1.237.1/32
MTU = 1420
ListenPort = 51828

[Peer]
AllowedIPs = 10.1.237.3/32,192.168.0.100/32

Klient Windows

[Interface]
Address = 10.1.237.3/32
DNS = 9.9.9.9, 149.112.112.112

[Peer]
AllowedIPs = 192.168.0.100/32
Endpoint = IP Zewnetrzne:51828

Połączenie jest ustanowione, ale w przypadku próby połączenia z pulpitem zdalnym poniżej log z klienta Windows

2024-03-08 14:19:24.390300: [TUN] [ograniczony] Sending handshake initiation to peer 1 (IP Zewnetrzne:51828)
2024-03-08 14:19:24.424913: [TUN] [ograniczony] Receiving handshake response from peer 1 (IP Zewnetrzne:51828)
2024-03-08 14:19:24.424913: [TUN] [ograniczony] Keypair 1 created for peer 1
2024-03-08 14:19:24.541014: [TUN] [ograniczony] Packet has unallowed src IP (10.1.237.3) from peer 1 (IP Zewnetrzne:51828)

czyli z tego rozumiem pakiet dochodzi do Wireguard ale nie przechodzi dalej.

skoro Firewall jest wyłączony na maszynie, a w niej nie mam żadnych reguł co blokuje ?