iptables, NAT для wireguard

0

2

Привет. Есть у меня на сервере давний скрипт для настройки ВПН’а. Поднимается wg интерфейс, делается дефолт шлюзом и всё такое. Всё работает хорошо. За NAT отвечает эта строка:

# iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE

В общем полез я на досуге в этом рзбираться, она мне показалась странной, NAT должен настраиваться как-то так:

# iptables -t nat -A POSTROUTING -s 192.168.10/24 -o eth0 -j MASQUERADE

Но так не работает, я не понимаю почему, первое вообще кажется невалидным. Вот как я рассуждаю:

Клиент идет на xxx.com через wg,
На интерфейс eth0 сервера приходит пакет
eth0->PREROUTING->routing->INPUT->wg обрабатывает пакет
wg отправляет пакет на xxx.com
wg->PREROUTIN->routing->FORWARD->POSTROUTING->eth0

Должно работать второе правило с выходным интерфейсом eth0. Через routing framework должны пройти пакеты с впн адресами и в конце на них накидывается NAT. В чем я ошибаюсь и почему непонятное бредовое правило #1 работает?

← Развёртывание защищённого HTTPS-прокси с авторизацией на Debian и Ubuntu с помощью скрипта одной командой

Расскажите про SSO →

Вторая строка правильная

Возможно у тебя:

умолчательная политика FORWARD – DROP
net.ipv4.ip_forward=1 здесь у тебя 0. Смотри sudo sysctl net.ipv4.ip_forward

futurama ★★★★★
(10.04.26 11:21:56 MSK)

Ответ на: комментарий от futurama 10.04.26 11:21:56 MSK

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

# iptables --list -v
Chain FORWARD (policy ACCEPT 369 packets, 110K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2550 1713K ACCEPT     all  --  wg0    any     anywhere             anywhere            
 3314  859K ACCEPT     all  --  any    wg0     anywhere             anywhere

kvpfs_2 ★
(10.04.26 11:27:38 MSK) автор топика

Ответ на: комментарий от kvpfs_2 10.04.26 11:27:38 MSK

с клиента на адрес wg0 сервера ping без проблем идёт?

счётчик пакетов не маленький, куда-то они таки идут. смотри счетчик на правиле MASQUERADE

futurama ★★★★★
(10.04.26 11:29:54 MSK)
Последнее исправление: futurama 10.04.26 11:32:18 MSK (всего исправлений: 2)

Ответ на: комментарий от futurama 10.04.26 11:29:54 MSK

Да, они в одной локалке, блоков точно нет, если ты о них

kvpfs_2 ★
(10.04.26 11:35:22 MSK) автор топика

Ответ на: комментарий от kvpfs_2 10.04.26 11:35:22 MSK

ну тогда надо отследить маршруты хождения пакетов, может где-то routing «не туда» или еще файервал (правила) не те

и MTU проверь

futurama ★★★★★
(10.04.26 11:42:06 MSK)
Последнее исправление: futurama 10.04.26 11:42:48 MSK (всего исправлений: 1)

Ответ на: комментарий от futurama 10.04.26 11:42:06 MSK

ну тогда надо отследить маршруты хождения пакетов

Как это можно сделать? Вот прям пришел пакет, PREROTING->routing->…->NAT или там дропнулось где показывается. Я вообще такого никогда не делал, хз что юзать

kvpfs_2 ★
(10.04.26 11:45:04 MSK) автор топика

Ответ на: комментарий от kvpfs_2 10.04.26 11:45:04 MSK

на сервере

посмотреть

ip r или netstat -rn

tcpdump -i any host 8.8.8.8

на клиенте

ping 8.8.8.8

если у тебя более-менее дефолтные системы без влезания в потроха маршрутизации, этого хватит

еще все правила посмотреть iptables-save

futurama ★★★★★
(10.04.26 11:59:34 MSK)
Последнее исправление: futurama 10.04.26 12:01:12 MSK (всего исправлений: 1)

Ответ на: комментарий от futurama 10.04.26 11:59:34 MSK

Спасибо, я попробую. Но насколько я помню, tcpdump слишком высокоуровневый для таких штук. Я вообще подумаываю, может х.. с этим iptables’ом, покрутить netfilter. Может он адекватней. Тут (serverfault.com) товарищ трейсил правила iptables’а, должо быть что-то оно

kvpfs_2 ★
(10.04.26 12:07:51 MSK) автор топика

Ответ на: комментарий от futurama 10.04.26 11:59:34 MSK

По счетчикам видно, что пакеты прихдят в ВГ, также доходят от него до интерфейса eth0 и отправляются на сервер, это подтверждает и wireshark.

Также wireshark показывает, что src ip у пакетов == ip eth0 интерфейса (как с NAT правилом, так и без него). Сервер не отвечает вообще, когда запросы идут от девайса в локалке (когда пакеты генерятся самим хостом, то всё норм).

Вообще для простоты немного упростил - у меня в инете вг сервер, в локалке вг клиент, остальные девайсы используют ВГ клиент как шлюз.

kvpfs_2 ★
(10.04.26 13:35:24 MSK) автор топика
Последнее исправление: kvpfs_2 10.04.26 13:36:29 MSK (всего исправлений: 1)

Ответ на: комментарий от futurama 10.04.26 11:59:34 MSK

Разобрался, я сам себя запутал. ВГ сервер и ВГ клиент-шлюз для других девайсов в локалке работают сильно иначе, зашёл на ВГ сервер, у меня там:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

серверу не нужен маскарад на входе в wg0, он сам отслеживает адреса при рукопожатиях. Зато он пропускает пакеты с адресом клиентов через весь этот network-routing framework (можно написать PBR привила например), клиент этого не делает.

Не могу сказать, что понял всё, но этого достаточно, чтобы более мене разобраться. Вот не понял я почему сервер не отвечает клиенту, который используется как шлюз, когда на входе в wg0 не стоит NAT. Ну да бог с ним

kvpfs_2 ★
(10.04.26 14:12:23 MSK) автор топика
Последнее исправление: kvpfs_2 10.04.26 14:13:07 MSK (всего исправлений: 1)

Когда же уже ipv6 без всяких натов будет?

NyXzOr ★★★★★
(10.04.26 18:15:43 MSK)

← Развёртывание защищённого HTTPS-прокси с авторизацией на Debian и Ubuntu с помощью скрипта одной командой

Admin

Расскажите про SSO →

Похожие темы