Всем привет. Помогите разобраться в чем может быть дело: при подключении к vpn нет доступа ко внешним ресурсам.
Что имеется:
сервер Linux mult 4.15.0-101-generic #102-Ubuntu SMP Mon May 11 10:07:26 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
на нем подняты IPSec/L2TP и WireGuard
при подключении через L2TP/IPSec - все работает нормально
при подключении через WireGuard - внешние ресурсы недоступны
При этом с устройства nslookup работает и с той стороны туннеля отдается правильный адрес.
Подозреваю, что дело может быть где то в iptables, но в этой теме я полный ноль
sudo cat /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE;
ListenPort = 51820
PrivateKey = OBhmhDiwNUF77fz9+xxxxJeIS0mB0cbId1Lk1g2k=
[Peer]
PublicKey = I3KgYfqBiOxLxxxZ+l7y74y79uD0H8=
AllowedIPs = 10.0.0.2/32
[Peer]
PublicKey = f6jey7uDa6U3nXxxxxjD0OPFtriK6l0=
AllowedIPs = 10.0.0.3/32
Endpoint = <my ip>:26950
L2TP/IPSec - ppp+ 192.168.42.0/24 192.168.43.0/24
WireGuard - wg0 10.0.0.0/24
sudo iptables-save
# Generated by iptables-save v1.6.1 on Wed Jun 3 23:07:25 2020
*nat
:PREROUTING ACCEPT [5704:365397]
:INPUT ACCEPT [351:22759]
:OUTPUT ACCEPT [137:9244]
:POSTROUTING ACCEPT [112:5132]
:DOCKER - [0:0]
-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER
-A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.43.0/24 -o eth0 -m policy --dir out --pol none -j MASQUERADE
-A POSTROUTING -s 172.18.0.0/16 ! -o br-db81f2955c9a -j MASQUERADE
-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p tcp -m tcp --dport 3306 -j MASQUERADE
-A POSTROUTING -s 172.18.0.3/32 -d 172.18.0.3/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A POSTROUTING -s 172.18.0.3/32 -d 172.18.0.3/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -s 172.18.0.4/32 -d 172.18.0.4/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 172.18.0.2/32 -d 172.18.0.2/32 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -s 172.18.0.3/32 -d 172.18.0.3/32 -p tcp -m tcp --dport 3306 -j MASQUERADE
-A POSTROUTING -s 172.18.0.4/32 -d 172.18.0.4/32 -p tcp -m tcp --dport 443 -j MASQUERADE
-A DOCKER -i docker0 -j RETURN
-A DOCKER -i br-db81f2955c9a -j RETURN
-A DOCKER ! -i br-db81f2955c9a -p tcp -m tcp --dport 81 -j DNAT --to-destination 172.18.0.2:80
-A DOCKER ! -i br-db81f2955c9a -p tcp -m tcp --dport 3306 -j DNAT --to-destination 172.18.0.3:3306
-A DOCKER ! -i br-db81f2955c9a -p tcp -m tcp --dport 444 -j DNAT --to-destination 172.18.0.4:443
-A DOCKER ! -i br-db81f2955c9a -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.18.0.4:80
COMMIT
# Completed on Wed Jun 3 23:07:25 2020
# Generated by iptables-save v1.6.1 on Wed Jun 3 23:07:25 2020
*filter
:INPUT ACCEPT [351:19693]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [17106:16813528]
:DOCKER - [0:0]
:DOCKER-ISOLATION-STAGE-1 - [0:0]
:DOCKER-ISOLATION-STAGE-2 - [0:0]
:DOCKER-USER - [0:0]
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ppp+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp+ -o eth0 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.42.0/24 -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -d 192.168.43.0/24 -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.43.0/24 -o eth0 -j ACCEPT
-A FORWARD -o br-db81f2955c9a -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-db81f2955c9a -j DOCKER
-A FORWARD -i br-db81f2955c9a ! -o br-db81f2955c9a -j ACCEPT
-A FORWARD -i br-db81f2955c9a -o br-db81f2955c9a -j ACCEPT
-A FORWARD -j DROP
-A FORWARD -i wg0 -j ACCEPT
-A DOCKER -d 172.18.0.2/32 ! -i br-db81f2955c9a -o br-db81f2955c9a -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -d 172.18.0.3/32 ! -i br-db81f2955c9a -o br-db81f2955c9a -p tcp -m tcp --dport 3306 -j ACCEPT
-A DOCKER -d 172.18.0.4/32 ! -i br-db81f2955c9a -o br-db81f2955c9a -p tcp -m tcp --dport 443 -j ACCEPT
-A DOCKER -d 172.18.0.4/32 ! -i br-db81f2955c9a -o br-db81f2955c9a -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-db81f2955c9a ! -o br-db81f2955c9a -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-db81f2955c9a -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
COMMIT
# Completed on Wed Jun 3 23:07:25 2020
Пробовал добавлять в разных соотношениях
sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o wg0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i wg0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -s 10.0.0.0/24 -d 10.0.0.0/24 -i wg0 -o wg0 -j ACCEPT- не помогло
Очень надеюсь на помощь
Тема: Помогите разобраться: не работает доступ наружу у клиента vpn (Прочитано 522 раз)
