LINUX.ORG.RU
ФорумAdmin

wireguard и маскарадинг

 , ,


1

1

Имеется VPS на зарубежном хостинге, на которой крутится openvpn (для объединения разбросанных по локациям машин) и wireguard для выхода наружу с IP VPS (обход различного рода блокировок). openvpn tun0 10.10.10.1/24 wireguard wg0 10.20.20.1/24 Появилась потребность выхода наружу из под IP одной из машин (tun0 10.10.10.20), находящейся в сети openvpn (машина не имеет белого ip) через подключение к VPS.

Для этого поднял второй wireguard (wg1 10.30.30.1)

Замаскарадил из 10.30.30.0/24 в 10.10.10.0/24 (tun0):

iptables -t nat -A POSTROUTING -s 10.30.30.0/24 -o tun0 -j MASQUERADE

Задал default gateway:

ip route add default via 10.10.10.20 table 20
ip rule add from 10.30.30.0/24 lookup 20

На машине из под которой планируется выход наружу тоже сделал маскарадинг (смотрящий наружу интерфейс - enp0s25):

iptables -t nat -I POSTROUTING -o enp0s25 -j MASQUERADE
net.ipv4.ip_forward = 1 прописал

Что по итогу:

Пинги до 10.10.10.20 из 10.30.30.0/24 идут, а вот наружу ужу не хочет.

tcpdump на VPS при пинге 10.10.10.20 из 10.30.30.30.0/24:

19:49:38.159419 tun0  In  IP 10.10.10.20 > 10.10.10.1: ICMP echo reply, id 33937, seq 0, length 64
19:49:38.159448 wg1   Out IP 10.10.10.20 > 10.30.30.2: ICMP echo reply, id 33937, seq 0, length 64
19:49:39.052229 wg1   In  IP 10.30.30.2 > 10.10.10.20: ICMP echo request, id 33937, seq 1, length 64
19:49:39.052252 tun0  Out IP 10.10.10.1 > 10.10.10.20: ICMP echo request, id 33937, seq 1, length 64

tcpdump на машине 10.10.10.20:

19:51:43.424729 tun0  In  IP 10.10.10.1 > 10.10.10.20: ICMP echo request, id 37777, seq 0, length 64
19:51:43.424770 tun0  Out IP 10.10.10.20 > 10.10.10.1: ICMP echo reply, id 37777, seq 0, length 64

tcpdump на VPS при пинге 8.8.8.8 из 10.30.30.0/24 кажет следующее:

19:46:58.824306 wg1   In  IP 10.30.30.2 > 8.8.8.8: ICMP echo request, id 27281, seq 12, length 64
19:46:58.824333 tun0  Out IP 10.10.10.1 > 8.8.8.8: ICMP echo request, id 27281, seq 12, length 64

на машине 10.10.10.20 при этом тишина. Подскажите пожалуйста что не так?

Нашел информацию об особенностях openvpn и необходимости добавления в ccd машины (10.10.10.20) строк следующего вида:

iroute 1.0.0.0 255.0.0.0
iroute 2.0.0.0 255.0.0.0
. . . . . . 
iroute 255.0.0.0 255.0.0.0
Но не помогло...



Последнее исправление: dmp_pmd (всего исправлений: 5)