Wireguard VPNゲートウェイルーティングを変更する方法

Wireguard VPNゲートウェイルーティングを変更する方法

これで、インターネット接続がIPV6(DS-lite)に切り替わったので、Wireguard-VPN-Setupをセットアップして実行しようとして必死に取り組んでいます。

マイ設定(オリジナル):

  • NetCup VPS(インターネット外のモバイルデバイスへのIPv4連絡先として機能)
  • 内部Wireguardサーバー(内部ネットワークと外部ネットワーク間のゲートウェイとして機能します)
  • WireguardクライアントがインストールされているiPhoneは、モバイルネットワークを介してのみ接続されます。

現在の状態:

  • VPSと内部Wireguardサーバー、VPSとモバイルクライアントの間にVPNトンネルを確立して実行します。
  • VPS(VPNアドレス192.168.1.10)は、2つのピア(192.168.1.1および192.168.1.15)にpingを送信できます。
  • 内部Wireguardサーバー(192.168.1.1)はVPS(192.168.1.10)をpingできますが、モバイルクライアント(192.168.1.15)に接続できません。 --> ICMP: ターゲットホストに接続できません。
  • 192.168.1.15でpingを試みると、VPSサーバーのtcpdumpに内部WireguardサーバーからのICMP要求は表示されません。
  • モバイルクライアント(192.168.1.15)は、VPNトンネルを介してVPS(192.168.1.10)にpingを送信できますが、内部Wireguardサーバー(192.168.1.1)に接続できません。

私にとって、これは内部ゲートウェイサーバーのルーティングの問題のようです。 wg-quickが設定したパスは次のとおりです。

デフォルト値の転送192.168.2.1 dev enp0s10元の静的インデックス100 169.254.0.0/16 dev enp0s10範囲リンクインデックス1000タイプカーネル範囲リンクsrc 192.168 .2.2 メートル法 100

IP転送が有効になっています。

私が逃した部分のアイデアはありますか?

どんな助けでも大変感謝します!

答え1

これは元の質問の編集内容として公開されたソリューションです。元の作者が直接これを行っていないので、ここに文法修正を通じてコミュニティウィキの回答として公開されました。


数時間検索したところ、ついに私に合ったソリューションを見つけました。

失敗したICMP pingメッセージ(192.168.1.1192.168.1.15)は、解決策を見つけるための主なヒントを提供します。目的地に到達できないという内容の他に、以下の内容も明示されています。

sendmsg: Destination Address required

このメッセージはWireguardによって提供されます。

wg0.confこのエラーの原因は、ファイル内の両方のVPNクライアントに対して生成されたピアエントリのエンドポイント定義が欠落しているためです。

解決策:

  1. もともとお互いを直接知ることを意図したクライアントのピア定義が削除されました。 VPNクライアント間の直接エンドポイントが定義されていないため、機能しません。これがICMPメッセージのソースです。

  2. 残りのピア定義には、Wireguardサーバー、192.168.1.10/32サーバー自体、および192.168.1.15/32クライアント(他のクライアントの場合はその逆)を指す特定のピアアドレスが含まれます。

  3. 受信デバイスと送信デバイスの間でFORWARDパケットを転送できるように、ファイアウォールルールがチェーンに追加されます。wg0まず、内部インターフェイスとVPNインターフェイス(双方向)の間に特定のトラフィックルールを作成しました。これが実際に動作するかどうかはわかりません。

関連情報