LINUX.ORG.RU
ФорумAdmin

Нет трафика в WireGuard (TimeCloud)

 


0

2

Приветствую, суть такая, есть WireGuard который стоит на TimeCloud, на сайте создаю клиент загружаю конфиг в прогу все норм, но, делаю генерацию ключей с помощью пайтона, паблик и приват ключ генерирует, ключи валидные выдает, но почему то при формировании конфига из этих ключей трафик не идет и кфг не работает, в чем может быть причина?

Доступ без ввода пароля через ssh-copy-id
Как можно изолировать vhost

трафик не идет

маскарад в nft/iptables прописан? Роутинг настроен? Пересылка пакетов между интерфейсами разрешена? «Чистый» wireguard может быть заблокирован провайдером.

ALiEN175
()
Последнее исправление: ALiEN175 (всего исправлений: 1)
Ответ на: комментарий от ALiEN175

Я не особо в этом разбираюсь, моя задача заключалась в автоматизации создания конфигов, но они не работают, поэтому пытаюсь разобраться до конца что не так, мои предположения если сайт создает рабочие конфиги а пайтон используя сервер создает рабочие ключи но не рабочие конфиги я предполагаю, что где то что то прописывается в файлах, но это точно не пиры в w0.

alex600
() автор топика
Ответ на: комментарий от ALiEN175

Вот пример конфига (ключи заменены)

[Interface]
PrivateKey = yKfunx25VbzBbtZPqELZovgdvFcyPO3g2DTSgoKc03Y=
Address = 10.8.0.16/32
DNS = 1.1.1.1

[Peer]
PublicKey = Q1VLy5fpr/owFaT5AZQ3TH9fSaUI+sk44g9YWQZz3Gc=
PresharedKey = l1HNNNgm8xMuLwzsmd057pnW6nOuM7bZ24GYS0Q4qhg=
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 0
Endpoint = 37.220.83.26:55820

sudo wg - результат не выводит

ip r

default via 37.220.83.1 dev eth0 proto dhcp src 37.220.83.26 metric 100
37.220.83.0/24 dev eth0 proto kernel scope link src 37.220.83.26 metric 100
37.220.83.1 dev eth0 proto dhcp scope link src 37.220.83.26 metric 100
92.53.116.13 via 37.220.83.1 dev eth0 proto dhcp src 37.220.83.26 metric 100
92.53.116.104 via 37.220.83.1 dev eth0 proto dhcp src 37.220.83.26 metric 100
169.254.169.0/24 dev eth0 proto dhcp scope link src 37.220.83.26 metric 100
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1
172.18.0.0/16 dev br-ff76cf407534 proto kernel scope link src 172.18.0.1

sysctl -a | grep ‘ip_forward’

net.ipv4.ip_forward = 1
net.ipv4.ip_forward_update_priority = 1
net.ipv4.ip_forward_use_pmtu = 0

sudo iptables-save

# Generated by iptables-save v1.8.7 on Sat May 17 01:38:56 2025
*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 172.17.0.2/32 ! -i docker0 -p udp -m udp --dport 51820 -j DROP
-A PREROUTING -d 172.17.0.2/32 ! -i docker0 -p tcp -m tcp --dport 51821 -j DROP
COMMIT
# Completed on Sat May 17 01:38:56 2025
# Generated by iptables-save v1.8.7 on Sat May 17 01:38:56 2025
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:DOCKER - [0:0]
:DOCKER-BRIDGE - [0:0]
:DOCKER-CT - [0:0]
:DOCKER-FORWARD - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-ff76cf407534 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-ff76cf407534 -j DOCKER
-A FORWARD -i br-ff76cf407534 ! -o br-ff76cf407534 -j ACCEPT
-A FORWARD -i br-ff76cf407534 -o br-ff76cf407534 -j ACCEPT
-A FORWARD -j DOCKER-FORWARD
-A DOCKER -d 172.18.0.2/32 ! -i br-ff76cf407534 -o br-ff76cf407534 -p udp -m udp --dport 10100 -j ACCEPT
-A DOCKER -d 172.18.0.2/32 ! -i br-ff76cf407534 -o br-ff76cf407534 -p tcp -m tcp --dport 10101 -j ACCEPT
-A DOCKER-BRIDGE -o docker0 -j DOCKER
-A DOCKER-CT -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A DOCKER-FORWARD -j DOCKER-CT
-A DOCKER-FORWARD -j DOCKER-ISOLATION-STAGE-1
-A DOCKER-FORWARD -j DOCKER-BRIDGE
-A DOCKER-FORWARD -i docker0 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-ff76cf407534 ! -o br-ff76cf407534 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-ff76cf407534 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Sat May 17 01:38:56 2025
# Generated by iptables-save v1.8.7 on Sat May 17 01:38:56 2025
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-ff76cf407534 -j MASQUERADE
-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p udp -m udp --dport 10100 -j MASQUERADE
-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p tcp -m tcp --dport 10101 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-ff76cf407534 -j RETURN
-A DOCKER ! -i br-ff76cf407534 -p udp -m udp --dport 10100 -j DNAT --to-destination 172.18.0.2:10100
-A DOCKER ! -i br-ff76cf407534 -p tcp -m tcp --dport 10101 -j DNAT --to-destination 172.18.0.2:10101
COMMIT
alex600
() автор топика
Ответ на: комментарий от ALiEN175

«Чистый» wireguard может быть заблокирован провайдером.

немного не так.

«Чистый» wireguard почти наверняка заблокирован ТСПУ роскомнадзора. Провайдер туда доступа не имеет, но обязан его держать.

sergej ★★★★★
()
Ответ на: комментарий от ALiEN175

Ошибку выдает

root@4546235-un65049:~# sudo systemctl status wg-quick@wg0.service
× wg-quick@wg0.service - WireGuard via wg-quick(8) for wg0
     Loaded: loaded (/lib/systemd/system/wg-quick@.service; disabled; vendor preset: enabled)
     Active: failed (Result: exit-code) since Sat 2025-05-17 01:58:09 MSK; 17s ago
       Docs: man:wg-quick(8)
             man:wg(8)
             https://www.wireguard.com/
             https://www.wireguard.com/quickstart/
             https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
             https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
    Process: 13361 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=2)
   Main PID: 13361 (code=exited, status=2)
        CPU: 29ms

May 17 01:58:09 4546235-un65049 systemd[1]: Starting WireGuard via wg-quick(8) for wg0...
May 17 01:58:09 4546235-un65049 wg-quick[13361]: [#] ip link add wg0 type wireguard
May 17 01:58:09 4546235-un65049 wg-quick[13361]: [#] wg setconf wg0 /dev/fd/63
May 17 01:58:09 4546235-un65049 wg-quick[13361]: [#] ip -4 address add 10.8.0.1/24 dev wg0
May 17 01:58:09 4546235-un65049 wg-quick[13361]: [#] ip link set mtu 1420 up dev wg0
May 17 01:58:09 4546235-un65049 wg-quick[13381]: RTNETLINK answers: Address already in use
May 17 01:58:09 4546235-un65049 wg-quick[13361]: [#] ip link delete dev wg0
May 17 01:58:09 4546235-un65049 systemd[1]: wg-quick@wg0.service: Main process exited, code=exited, status=2/INVALIDARG>
May 17 01:58:09 4546235-un65049 systemd[1]: wg-quick@wg0.service: Failed with result 'exit-code'.
May 17 01:58:09 4546235-un65049 systemd[1]: Failed to start WireGuard via wg-quick(8) for wg0.
alex600
() автор топика
Ответ на: комментарий от ALiEN175 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 3a:d6:54:c0:e4:bc brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    altname ens3
    inet 37.220.83.26/24 metric 100 brd 37.220.83.255 scope global dynamic eth0
       valid_lft 76671sec preferred_lft 76671sec
    inet6 fe80::38d6:54ff:fec0:e4bc/64 scope link
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 3a:56:0a:b0:3e:b7 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::3856:aff:feb0:3eb7/64 scope link
       valid_lft forever preferred_lft forever
4: vethed45942@if2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default
    link/ether 1e:8a:d7:a8:04:b4 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::1c8a:d7ff:fea8:4b4/64 scope link
       valid_lft forever preferred_lft forever
5: br-ff76cf407534: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:70:92:8d:6d brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 brd 172.18.255.255 scope global br-ff76cf407534
       valid_lft forever preferred_lft forever
    inet6 fe80::42:70ff:fe92:8d6d/64 scope link
       valid_lft forever preferred_lft forever
7: vethf8cd39c@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-ff76cf407534 state UP group default
    link/ether 3a:25:73:8b:cc:26 brd ff:ff:ff:ff:ff:ff link-netnsid 1
    inet6 fe80::3825:73ff:fe8b:cc26/64 scope link
       valid_lft forever preferred_lft forever
alex600
() автор топика
Ответ на: комментарий от ALiEN175

Это скорее совпадение. ТСПУ стоит у всех и провайдеров сильно ругают если обнаруживают трафик, идущий мимо.

Или возможно была какая-то проблема у провайдера, которую они исправили, а на тспу он почему-то не блокировался.

sergej ★★★★★
()

echo «module wireguard +p» | sudo tee /sys/kernel/debug/dynamic_debug/control

-p to turn it off

на обоих концах для удобного дебага. это для всех на будущее, не только ТС

anonymous
()
Ответ на: комментарий от ALiEN175

я РТ когда-то вставил пистонов

Немного оффтоп: а куда писал? У меня в какой-то момент отвалился wg чисто между своими машинами, забил болт и перенастроил. Судя по твоим словам есть вариант поругаться с провайдером/хостером VPS с положительным исходом?

paddlewan
()
Ответ на: комментарий от paddlewan

У меня открытый wg бегает между домашним и мобильным у одного и того же провайдера. Просто им в чате написал вопрос - а, какого, собственно, буя, они блокают трафик между своими же айпишниками?

ALiEN175
()
Ответ на: комментарий от no-such-file

Причина в том, что TimeCloud разрешает только 1 подключение.

Это что за бред? Типа так прям в договоре и написано не более одного подключения в одни руки? Т.е. даже пассивный ftp робить не будет?

anc ★★★★★
()
Ответ на: комментарий от anc

Типа так прям в договоре и написано не более одного подключения в одни руки

Да, так и написано.

даже пассивный ftp

Какой ещё ftp? Это чисто VPN договор, не отдельная VM. Во всяком случае я так понял ТСа. Иначе зачем уточнять что это TimeCloud (которые как раз предоставляют WG VPN как отдельную услугу)?

no-such-file ★★★★★
()
Ответ на: комментарий от ALiEN175

«Чистый» wireguard может быть заблокирован провайдером.

Провайдеру это никуда не упало, а за то, что происходит на ТСПУ, установленном у него, отвечает другая организация. Надо там спрашивать, тем более они просили списки собственных VPN-сервров им предоставить: https://rkn.gov.ru/press/news/news74921.htm

AS ★★★★★
()
Ответ на: комментарий от ALiEN175

я РТ когда-то вставил пистонов

С одной стороны пистоны нужны не оператору, с другой - именно этот оператор, кажется, где-то рядом. :-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от sergej

Это скорее совпадение. ТСПУ стоит у всех и провайдеров сильно ругают если обнаруживают трафик, идущий мимо.

Не думаю, что совпадение. Просто Ростелеком дальше сам начал с ДЦОА вопрос решать. Что ему ещё-то делать остаётся?

AS ★★★★★
()
Доступ без ввода пароля через ssh-copy-id
Admin
Как можно изолировать vhost