Wireguard VPN, без доступа в Интернет

Question

Wireguard VPN, без доступа в Интернет

Я пробую Wireguard VPN, и хотя я считаю, что наконец-то смог подключиться, у меня нет доступа в Интернет, и я не могу пропинговать различные сайты в Интернете.

Я взял файл Wireguard .conf, предоставленный моим поставщиком VPN, переименовал его и скопировал в /etc/wireguard/wg0.conf.

      [Interface]
PrivateKey = redacted
ListenPort = 51820
Address = redacted/32
DNS = 10.100.0.1

[Peer]
PublicKey = redacted
PresharedKey = redacted
AllowedIPs = 0.0.0.0/0
Endpoint = redacted:51820
PersistentKeepalive = 25

Если я сделаю sudo wg-quick up wg0кажется, что он подключается, но у меня нет доступа к Интернету.

$ sudo wg-быстрый wg0

      [#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add redacted/32 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
[#] wg set wg0 fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n

$ sudo wg показать

      interface: wg0
  public key: redacted
  private key: (hidden)
  listening port: 51820
  fwmark: 0xca6c

peer: redacted
  preshared key: (hidden)
  endpoint: redacted:51820
  allowed ips: 0.0.0.0/0
  transfer: 0 B received, 2.89 KiB sent
  persistent keepalive: every 25 seconds

Я пытался отключить брандмауэр безуспешно. я пытался sysctl -w net.ipv4.ip_forward=1без везения.

Есть идеи, почему нет интернета?

4

vpn 21.10 wireguard

Источник

heynnema 05 апр '22 в 17:13

2 ответа

Другие вопросы по тегам vpn 21.10 wireguard

heynnema 06 апр '22 в 16:23 2022-04-06 16:23 · Answer 1 · 2022-04-06 16:23

Я получил новый файл wireguard .conf от своего поставщика VPN, используя другое (правильное) имя хоста, и мое первоначальное тестирование показало, что теперь он работает.

Fjor 06 апр '22 в 16:10 2022-04-06 16:10 · Answer 2 · 2022-04-06 16:10

Мне удалось устранить неполадки со ссылками Wireguard, проанализировав основные моменты конфигурации:

Перезапущены ли конечные точки wireguard, чтобы они оба распознавали другие боковые клавиши и не генерировали сообщения об ошибках?
Отличается ли диапазон сети VPN от всех диапазонов, присутствующих в конечных точках, поэтому VPN может иметь свою собственную отдельную сеть?
Разрешают ли локальные брандмауэры прохождение трафика через порты UDP, используемые в каждом узле?
Имеет ли каждый узел уникальный IP-адрес в диапазоне VPN?
Обеспечивают ли маски IP-адреса/диапазона VPN видимость необходимых узлов?
Если DNS-адрес настроен, доступен ли сервер и отвечает ли он напрямую или через разрешенные диапазоны VPN?
Является ли конечная точка, объявленная в узле, доступной ему напрямую?
Маршруты, созданные в одноранговом узле его строкой «Разрешенные IP-адреса», относятся к диапазонам, присутствующим на другой стороне ссылки?
Правила брандмауэра, добавленные wg-quick, разрешают трафик через/из VPN и локальные/удаленные диапазоны IP-адресов?
Включена ли переменная ядра ip_forward ?
Требуется ли NAT для исходящего трафика?

Заметки

Напрямую: без использования VPN.

Диапазон VPN: диапазон IP-адресов, выбранный для одноранговой адресной строки и маски всех узлов.

Каждый из вопросов требует различных правил/методов для тестирования/решения, но требуются некоторые знания об IP-адресации и доступ к таким сетевым инструментам, как ping, nmapили же nslookup/digи соответствующие команды операционной системы, чтобы запросить текущее состояние сети интерфейсных адресов, маршрутов и брандмауэра. Некоторые действия могут быть:

Проверьте /var/log/syslog на наличие сообщений об ошибках и убедитесь, что интерфейс wg определен и имеет настроенный IP-адрес.

2,4,5,8. Рассчитайте интервалы IP-адресов для всех задействованных диапазонов/масок и нарисуйте диаграмму, показывающую, как они взаимосвязаны и как трафик будет проходить между ними. Проверьте на несоответствия.

3,9. Проверьте текущий используемый брандмауэр (iptables, ufw, nftables и т. д.) и применяемые правила.

Использовать dig, nslookupили же hostпроверить разрешение DNS ( manкаждую команду для увеличения детализации при необходимости).
Линия конечной точки должна использовать общедоступный IP-адрес или адрес, доступный напрямую без использования VPN.

Last, 11.(Пришлось добавить слово «Last», чтобы избежать автоматической перенумерации «11» на «8» ). Если удаленные хосты (кроме удаленного однорангового узла), к которым мы хотим иметь доступ, не имеют маршрутов для локальный IP-адрес/диапазон через VPN/равный узел, тогда нам нужна трансляция NAT в узле.

Например, если нам нужно направить весь трафик через VPN, удаленный одноранговый узел должен транслировать через NAT весь трафик, направленный в Интернет из VPN, чтобы удаленные хосты, такие как Google/Facebook, отвечали напрямую одноранговому узлу, и поэтому данные могли быть перенаправлены. правильно к нам.