Не работает dns в netns

dns, namespace, wireguard, нубский вопрос

0

1

Здравствуйте, у меня проблема случилась, я решил wireguard засунуть в простраство имён и мне там нужен dns, я в /etc/netns/wg/resolv.conf вбил nameserver 10.2.0.1 dns сервера. но когда ввожу sudo ip netns exec wg resolvectl dns у меня вылезает

 Failed to get link data for 3: Unknown object '/org/freedesktop/resolve1/link/_33'.

Весь гугл обшерстил и ничего не нашел.

←	Openvpn сервер не видит локальную сеть клиента

как сделать такой open vpn

→

Наверное потому что системд-шные велосипеды работают через сокеты, которых нет в твоём NS. Сам резолвинг должен работать, попробуй попинговать домен какой-нибудь.

MagicMirror ★
(02.06.23 19:58:03 MSK)

Ответ на: комментарий от MagicMirror 02.06.23 19:58:03 MSK

пишет

ping: socktype: SOCK_RAW
ping: socket: Операция не позволена
ping: => missing cap_net_raw+p capability or setuid?

а, попробовал по другому, ничего не пингует.

Groled
(02.06.23 19:59:55 MSK) автор топика
Последнее исправление: Groled 02.06.23 20:00:49 MSK (всего исправлений: 1)

Ответ на: комментарий от Groled 02.06.23 19:59:55 MSK

Ну давай от обратного. ip netns exec wg cat /etc/resolv.conf что даёт?

MagicMirror ★
(02.06.23 20:08:43 MSK)

Ответ на: комментарий от MagicMirror 02.06.23 20:08:43 MSK

 nameserver 10.2.0.1

если через wg-quick подключится то всё хорошо а таким образом не хочет dns и ничего не пингует.

Groled
(02.06.23 20:11:50 MSK) автор топика

Ответ на: комментарий от Groled 02.06.23 19:59:55 MSK

Что пинговалось? Домен? Адрес? Вероятно проблема не в DNS.

MagicMirror ★
(02.06.23 20:16:50 MSK)

Ответ на: комментарий от MagicMirror 02.06.23 20:16:50 MSK

домен ya.ru пинговал

Groled
(02.06.23 20:17:14 MSK) автор топика

Ответ на: комментарий от Groled 02.06.23 20:17:14 MSK

Давай лучше как netns создавал и как настраивал. Приложи ещё ip netns exec wg ip a и ip netns exec wg ip ro

MagicMirror ★
(02.06.23 20:19:17 MSK)

Ответ на: комментарий от MagicMirror 02.06.23 20:19:17 MSK

По этому гайду настраивал.

ip a выводит

 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
6: tun0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 10.2.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever

Groled
(02.06.23 20:22:47 MSK) автор топика

Ответ на: комментарий от Groled 02.06.23 20:22:47 MSK

А вторая команда?

MagicMirror ★
(02.06.23 20:30:46 MSK)

Ответ на: комментарий от MagicMirror 02.06.23 20:30:46 MSK

default dev tun0 scope link

Groled
(02.06.23 20:32:32 MSK) автор топика

Ответ на: комментарий от Groled 02.06.23 19:59:55 MSK

Какая-то экзотическая или кривая система.

sysctl net.ipv4.ping_group_range

i586 ★★★★★
(03.06.23 10:46:45 MSK)

Ответ на: комментарий от i586 03.06.23 10:46:45 MSK

в неймспейсе выдаёт

net.ipv4.ping_group_range = 1	0

в глобальной

net.ipv4.ping_group_range = 0	2147483647

Groled
(03.06.23 16:54:31 MSK) автор топика

Ответ на: комментарий от Groled 03.06.23 16:54:31 MSK

Все ок, это нормально.

Ошибка из первого поста – это нормально. Я не знаю, насколько systemd-resolved сейчас namespace-aware, но если запустить его с NetworkNamespacePath=/var/run/netns/vpn, то работать точно будет. Но вам он не нужен, если DNS прописан явно.

Что конкретно не работает? Впишите заведомо рабочий DNS.

i586 ★★★★★
(03.06.23 22:40:47 MSK)

Ответ на: комментарий от Groled 02.06.23 20:11:50 MSK

Подожди. Ты прописал адрес, который БУДЕТ доступен через vpn ПОСЛЕ установки соединения. И то при условии, что на той стороне он в принципе есть

Надеюсь, ты и проверяешь name resolving после?

router ★★★★★
(04.06.23 14:11:59 MSK)
Последнее исправление: router 04.06.23 14:15:14 MSK (всего исправлений: 1)

Ответ на: комментарий от Groled 02.06.23 20:22:47 MSK

ИМХО, статья какая-то дурацкая. Зачем пытаться сделать песочницу для wireguard, который, на минуточку, работает в ядре? Для утилит управления wireguard? Сильный ход

Скорее всего, автору статьи понадобилось сделать именно черезжопу, чтобы иметь возможность маршрутизовать через vpn трафик отдельных приложений, а вовсе не для безопасности. Скорее всего, тебе это не нужно

router ★★★★★
(04.06.23 14:17:17 MSK)

Ответ на: комментарий от router 04.06.23 14:17:17 MSK

И у меня есть некоторые сомнения, что это вообще будет работать. Лучше поищи другие howto

router ★★★★★
(04.06.23 14:19:45 MSK)

←	Openvpn сервер не видит локальную сеть клиента

Admin

как сделать такой open vpn

→

Похожие темы