Jump to content

Вопрос по настройкам сервера

alibek

By alibek
in У нага

 Share

Recommended Posts

alibek

alibek

Posted
Posted

Есть зарубежный сервер, настроенный примерно так.

 

Конфигурация wireguard:

Скрытый текст 
[Interface]
PrivateKey = ***
Address = 172.30.1.250/24
ListenPort = 385

[Peer]
PresharedKey = ***
PublicKey = ***
AllowedIPs = 172.30.1.1

 

 

Конфигурация iptables (упрощенно и сокращенно):

Скрытый текст 
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i -ens3 -p udp --dport 385 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Дополнительно пробовал добавлять -A INPUT -i wg0 -j ACCEPT.

 

Конфигурация wireguard на клиенте:

Скрытый текст 
[Interface]
PrivateKey = ***
Address = 172.30.1.1/24
DNS = 8.8.8.8

[Peer]
PresharedKey = ***
PublicKey = ***
Endpoint = **.**.**.**:385
AllowedIPs = 172.30.1.0/24,1.1.1.1/32
PersistentKeepalive = 20

1.1.1.1 — для отладки и тестов.

 

Дня три назад настроил, подключился, выполнил пинг 172.30.1.250, получил отклик.

Отключился и начал настраивать маршрутизацию и NAT. Что только не делал, но почему-то не работало, пинг на внешние узлы через туннель не проходил. Думал уже на форуме спросить, что не так, но как-то неловко было.

 

Вчера снова подключился, попробовал пропинговать 172.30.1.250, но отклика уже не получил.

Решил, что что-то намудрил с правилами, убрал маршрутизацию, NAT, все лишнее, но пинг все равно не проходил.

Запустил на сервере tcpdump -vn -i ens3 host xx.xx.xx.xx and not port 22.

Запускаю на клиенте ping 172.30.1.250, откликов нет (таймаут), но на сервере вижу в дампе пакеты, примерно секунд 10-15 после подключения. Затем пакеты в дампе появляться перестают, на клиенте без изменений (таймаут).

Если на сервере запустить сниффер на интерфейсе wg0, то там всегда пусто.

 

Думал, что у меня просто глаз замылился и я не замечаю какую-нибудь явную ошибку в конфигурации.

Но тут в соседней теме написали, что это протокол могут блокировать, и в общем-то на это похоже.

Или все же где-то в настройках ошибка?

alibek

alibek

Posted
  • Author
Posted

Сейчас попробовал переделать на порт 123.

 

При подключении клиента на сервере в дамп выводятся пакеты в течение примерно пяти секунд (15 пакетов), потом снова глухо.

Пинги на клиенте так и не проходят. Если запустить tcpdump на wg-интерфейсе клиента, то уходящие пакеты есть, ответов нет.

Если с клиента пытаться что-то отправить на порт 123 (например telnet 172.30.1.250 123).

Если с клиента попытаться что-то отправить на порт 123 по внешнему IP (например telnet xx.xx.xx.xx 123), то пакеты в дампе видны.

 

Так что похоже именно на блокировку, и именно по конкретному протоколу (потому что другой трафик 123/udp не блокируется).

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.