如何修复Wireguard网关的路由
我正拼命地想让我的Wireguard建立和运行,因为我的互联网连接已经切换到IPV6 (DS-lite)。
我的设置(Raw):
- NetCup VPS (充当我的移动设备的IPv4接触点)
- 内部Wireguard服务器(充当内部和外部网络之间的网关)
- 仅通过移动网络安装Wireguard客户端的Iphone
当前状态:
- VPN隧道在VPS与内部Wireguard服务器以及VPS和移动客户端之间建立和运行
- VPS (VPN地址192.168.1.10)能够平平两个对等点(192.168.1.1和192.168.1.15)
- 内部Wireguard服务器(192.168.1.1)能够平VPS (192.168.1.10)但不能到达移动客户端(192.168.1.15) -> ICMP:目的地主机不可达。
- VPS服务器上的tcpdump在试图ping 192.168.1.15时没有显示来自我的内部Wireguard服务器的任何ICMP请求
- 移动客户端(192.168.1.15)能够通过VPN-隧道来平VPS (192.168.1.10),但无法到达内部Wireguard服务器(192.168.1.1)
对我来说,这似乎是内部网关服务器上的路由问题。路线由工作组确定-快速安排如下:
默认设置为192.168.2.1 dev enp0s10 proto静态度量100 169.254.0.0/16 dev enp0s10范围链接度量1000 192.168.1.0/24 dev wg0 proto内核范围链接src 192.168.1.1 192.168.2.0/24 dev enp0s10 proto内核范围链接src 192.168.2.2度量100
IP转发是活动的。
对我可能错过的有什么想法吗?
任何帮助都是非常感谢的!
回答 1
Unix & Linux用户
发布于 2023-05-12 08:21:39
这是一个解决方案,最初张贴在问题的编辑。张贴在这里(与语法修复)作为一个社区wiki的答案,因为原来的作者没有这样做自己。
经过几个小时的搜索,我终于找到了一个解决方案。
失败的ICMP消息(192.168.1.1到192.168.1.15)提供了查找解决方案的关键提示。它除了说明目的地不可达外,还指出:
sendmsg: Destination Address required这条信息是由Wireguard提供的。
为两个虚拟专用网客户端在相应的wg0.conf-files中创建的对等项缺少端点定义是此错误的根源。
解决方案:
- 删除客户端的对等定义,最初的目的是直接了解对方。它们不能工作,因为VPN-客户端之间的直接端点没有定义。这就是ICMP信息的来源。
- 在剩余的对等点定义中添加了具体的对等地址,该定义指向Wireguard服务器、服务器本身的
192.168.1.10/32和客户端的192.168.1.15/32(反之亦然)。 - 在
FORWARD链中添加了防火墙规则,允许在wg0之间作为输入设备和传出设备进行分组转发。在第一个例子中,我在内部接口和VPN接口(双向)之间创建了特定的流量规则。我不确定这是否真的有效果。
https://unix.stackexchange.com/questions/666976
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号