Início / computer / Perguntas / 1694756
Accepted
ElRudi
Asked: 2021-12-19 10:07:57 +0800 CST

Não é possível conectar ao servidor wireguard da WAN

  • 772

Estou tentando me conectar ao meu wireguardservidor, mas não está funcionando e estou fora do meu alcance. Eu suspeito que é mais um problema de rede do que um problema de wireguard, mas posso estar enganado. Espero que alguém possa me dar algumas dicas.

O que eu fiz / O que está funcionando

Criei várias configurações no servidor, e uma delas adicionei ao cliente rodando o Pop-OS. Se estiver na (W)LAN, pode se conectar ao servidor sem problemas.

Detalhes

Configuração do cliente.

# /etc/wireguard/wg0.conf

[Interface]
PrivateKey = [removed]
Address = 10.6.0.4/24
MTU = 1420
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = [removed]
PresharedKey = [removed]
Endpoint = somesubdomain.chickenkiller.com:51820  # I tried with this one...
#Endpoint = 192.168.1.220:51820  # ...and with this one.
AllowedIPs = 0.0.0.0/0, ::0/0

Na LAN, isso funciona, independentemente do Endpoint que está comentado em:

# sudo wg-quick up wg0

[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.6.0.4/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
[#] wg set wg0 fwmark 51820
[#] ip -6 route add ::/0 dev wg0 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] ip6tables-restore -n
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n



# sudo wg

interface: wg0
  public key: [removed]
  private key: (hidden)
  listening port: 44709
  fwmark: 0xca6c

peer: [removed]
  preshared key: (hidden)
  endpoint: 12.34.567.89:51820     # (WAN IP address or LAN IP address, depending on commented-in Endpoint in wg0.conf)
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: Now
  transfer: 17.84 MiB received, 230.08 KiB sent

Para o meu smartphone, usando o wireguardaplicativo, o mesmo acontece: a conexão está funcionando quando o telefone está na WLAN.

O que não está funcionando

Quando o cliente tenta se conectar pela internet , não está mais funcionando. A saída de sudo wg-quick up wg0é a mesma de quando está na LAN, mas sudo wgdemora muito para produzir uma saída, e quando isso acontece, está sempre em 0 trafic:

# sudo wg

interface: wg0
  public key: [removed]
  private key: (hidden)
  listening port: 60955
  fwmark: 0xca6c

peer: [removed]
  preshared key: (hidden)
  endpoint: 12.34.567.89:51820
  allowed ips: 0.0.0.0/0, ::/0
  transfer: 0 B received, 2.31 KiB sent

Detalhes

Parece-me que há um problema ao entrar na LAN a partir da WAN, então é melhor eu quebrar o antigo diagrama de rede.

Esta é a configuração da LAN:

insira a descrição da imagem aqui

Em ambos os roteadores, o encaminhamento de porta para tráfego UDP na porta 51820está ativo. (no roteador primário, no secundário e no secundário, no servidor vpn)

Certamente não é relevante, mas o cliente está conectado à Internet por meio de uma conexão de dados de celular de um smartphone com conexão USB, pela qual ele pode pingar no Google e acessar a Internet sem problemas.

O servidor VPN está executando um serviço para atualizar o somesubdomain.chickenkiller.comserviço DDNS, e o ping mostra que ele realmente resolve para o meu endereço WAN. Os pings também recebem uma resposta:

~$ ping somesubdomain.chickenkiller.com
PING somesubdomain.chickenkiller.com (12.34.567.89) 56(84) bytes of data.
64 bytes from xxxxxxx.dynamic.kabel-deutschland.de (12.34.567.89): icmp_seq=1 ttl=47 time=77.1 ms
64 bytes from xxxxxxx.dynamic.kabel-deutschland.de (12.34.567.89): icmp_seq=2 ttl=47 time=76.1 ms

Não estou trabalhando em redes e infraestrutura de rede todos os dias, portanto, desculpe-me antecipadamente se isso tiver um motivo óbvio ou se deixei de fora alguma informação crítica; basta perguntar e terei prazer em fornecer quaisquer dados adicionais necessários.

Informações adicionais / configurações do roteador principal

  • Eu posso me conectar ao servidor VPN seja em LAN1 ou LAN2, então o encaminhamento de porta no roteador próprio/secundário parece estar funcionando bem; o problema deve estar no ISP/roteador primário ou em seu modem.

  • As seguintes regras de encaminhamento de porta são definidas neste roteador; corretamente AFAICS: insira a descrição da imagem aqui

  • O roteador do ISP tem um firewall, mas é ligado ou desligado sem nenhuma configuração. insira a descrição da imagem aqui

networking vpn

1 respostas

  1. Best Answer

    Solução (bem, solução alternativa): modo de ponte

    A traceroute somesubdomain.chickenkiller.com -U -p 51820mostrou que os pacotes estavam chegando ao roteador primário, mas morreram lá.

    Presumo que haja algum bloqueio acidental ou intencional desses pacotes pelo hardware fornecido pelo ISP e transformei o dispositivo em modo de ponte. O roteador secundário foi promovido a roteador primário e a configuração agora está funcionando perfeitamente. Eu posso alcançar e me conectar ao servidor wireguard sem problemas.

    Obrigado pela ajuda.

    E obrigado Vodafone por ser menos do que útil.

    • 0

relate perguntas