Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Для включения в состав ядра Linux предложен VPN WireGuard, opennews (ok), 06-Окт-18, (0) [смотреть все] Что-то эта штука не выглядит как то, что должно быть в ядре Они бы ещё туда ауд, A.Stahl (ok), 14:37 , 06-Окт-18, (1) –34 // Оно как раз и обгоняет OpenVPN за счёт того, что выполнено в виде модуля ядра Т, AnonPlus (?), 14:42 , 06-Окт-18, (3) +14 // Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры , A.Stahl (ok), 14:52 , 06-Окт-18, (5) –8 // Аудиоплееры не страдают от тормознутости и не нагружают заметно процессор А в, AnonPlus (?), 15:19 , 06-Окт-18, (9) А что он забыл на роутерах , Crazy Alex (ok), 16:49 , 06-Окт-18, (21) –9 Вломился вот и спрашивает что там про меня Crazy Alex думает , НяшМяш (ok), 17:30 , 06-Окт-18, (26) +7 Действительно, VPN на роутере Что может быть глупее Разве что фаервол на роуте, Fyjybv755 (?), 17:44 , 06-Окт-18, (30) +22 OpenVPN на роутере - это 10 mbps, потому что армовая дрянь, которая там стоит, н, abi (?), 09:27 , 08-Окт-18, (96) +1 Не ARM, а MIPS OpenVPN такая дрянь, что даже на мощных x86 гигабит не тянет , имя (?), 00:05 , 10-Окт-18, (132) Современные ARM таки и с openvpn могут довольно много Однако в целом openvpn да, Аноним (-), 11:40 , 12-Окт-18, (139) Подключать роутер в качестве клиента Либо поднять на роутере сервер и подключат, AnonPlus (?), 23:42 , 06-Окт-18, (59) +1 А на самом деле, зачем Обычно впн идет как приложение для виндового трея , Аноним (64), 04:38 , 07-Окт-18, (64) Куда идёт , Shwarma (?), 14:34 , 09-Окт-18, (130) А куда еще засунуть vpn, чтобы на всех домашних устройствах не испытывать послед, KonstantinB (ok), 05:20 , 07-Окт-18, (66) Роутер как бы самое логичное место для того чтобы на нем vpn запустить Он всегд, Аноним (-), 11:42 , 12-Окт-18, (140) Ту часть плеера, которая критична по скорости, уже давно впихнули Слышали про т, Fyjybv755 (?), 17:48 , 06-Окт-18, (32) +7 Будешь рассуждать про отсутствие поводов для впихивания, когда тебе придется объ, shatsky (?), 11:01 , 07-Окт-18, (69) Вы передаёте в аудиоплеер гигасы данных в секунду Зачем , Аноним (120), 19:12 , 08-Окт-18, (120) А то, что в ядре есть модули для CIFS и NFS 8212 достаточно прикладных штук, , marios (ok), 00:22 , 14-Окт-18, (157) Пральна, т-щ Линус , нужно втащить в ядро бОООльше минималистичного, а то оно ко, Andrey Mitrofanov (?), 16:39 , 06-Окт-18, (20) –6 Ну не прям чтобы восхищался, он просто заметил что оно не такое дерьмо, как Open, gpyra (ok), 18:19 , 07-Окт-18, (88) +2 Таня же писала код , DmA (??), 09:28 , 08-Окт-18, (97) // Ну и Таня Ланге - профессор в нидердланском университете, на страничке опубликов, DmA (??), 09:40 , 08-Окт-18, (98) Нет Опровергните, тогда изменю мнение, основанное на обучении в бауманке , Аноним (-), 10:47 , 08-Окт-18, (100) да я тоже думаю, что нет таких , DmA (??), 12:50 , 08-Окт-18, (109) Полностью согласен с Вами, гражданин Незачем вот это повсеместное шифрование, о, Майор (??), 18:36 , 06-Окт-18, (35) +9 // А чего вы тогда свою переписку не выкладываете в Интернет, чтобы все могли её чи, DmA (??), 09:11 , 09-Окт-18, (124) // чтобы враги государственного строя и вражеские шпионы не могли ее прочитать, раз, товарищ майор (?), 09:54 , 10-Окт-18, (135) +1 Ядро станет еще более монолитным , Аноним (62), 01:39 , 07-Окт-18, (62) Вот уж чего надо выкинуть из ядра, так это долбаный ipsec с его нагромождениями , KonstantinB (ok), 05:18 , 07-Окт-18, (65) –2 // да-да, ведь никуда кроме распоследней версии линукса гордому админу локалхоста п, нах (?), 10:42 , 08-Окт-18, (99) // Задачи внезапно разные Мне, скажем, на перечисленные задачи по барабану, нереле, KonstantinB (??), 19:51 , 08-Окт-18, (121) внезапно, да Поэтому я может и буду где-то в очень узкоспециальных строго линy, нах (?), 12:34 , 09-Окт-18, (126) Только вот беда, реально в ойписеке ничего кроме psk с предопределенными пирами , Аноним (125), 10:53 , 09-Окт-18, (125) мой корпоративный vpn с xauth с сертификатом и отдельно mschap2 поверх, доступны, нах (?), 12:39 , 09-Окт-18, (127) Почему с tinc ом нет сравнений Хотя, полагаю он будет где-то около openvpn, т к, Аноним (2), 14:37 , 06-Окт-18, (2) // По производительности - да, Вы правы, не очень из-за юзер-пейса По простоте нас, tensor (?), 00:36 , 07-Окт-18, (60) Производительность это хорошо, но не главное Главное - это аудит самих алгоритм, mikevmk (??), 14:50 , 06-Окт-18, (4) // Судя по новости сделали Хотя надо бы посмотреть отчет и кто делал , evkogan (?), 16:35 , 06-Окт-18, (19) +2 Да бог с ними - с алгоритмами Вполне достаточно будет взбрыка на какой-нибудь ос, КО (?), 22:00 , 06-Окт-18, (54) +1 https www wireguard com formal-verification , KonstantinB (ok), 05:24 , 07-Окт-18, (67) // I has undergone all sorts of formal verification, covering aspects of , Andrey Mitrofanov (?), 16:55 , 07-Окт-18, (83) // От этого никто не застрахован, конечно Но что будет на порядки меньше, чем в ips, KonstantinB (??), 18:15 , 07-Окт-18, (87) –1 А если UDP заблокирован , Аноним (11), 15:47 , 06-Окт-18, (11) –2 // Это поможет, привет из Китаяhttps github com wangyu- udp2raw-tunnelhttps git, Аноним (12), 15:52 , 06-Окт-18, (12) а если интернет вообще отключили примерно так же , Аноним (14), 16:24 , 06-Окт-18, (14) +3 В смысле, добрые админы выпускают наружу только через HTTP-прокси Тогда живите , Fyjybv755 (?), 17:40 , 06-Окт-18, (28) –2 // this http method does not allowed Будешь ты тут мне трудовую дисциплину наруш, недобрый админ (?), 09:59 , 10-Окт-18, (136) +1 // Для таких умников есть тунели которые в HTTP запросах TCP пропихивают, чо А , Аноним (145), 11:54 , 12-Окт-18, (145) а где будет этот впн если оба или один из пиров за натом , Аноним (13), 15:54 , 06-Окт-18, (13) –2 // Если только один пир за натом то никаких проблем не будет если на нем включить о, Аноним (16), 16:31 , 06-Окт-18, (16) +3 Для таких случаев есть ZeroTier https www reddit com r linux comments 7c0zkw , Shevchuk (ok), 18:23 , 06-Окт-18, (34) https peervpn net, Анонимная триада (?), 18:51 , 06-Окт-18, (39) // На фоне WireGuard он, мягко говоря, так себе 1 Примерно 300 кило кода, на все с, Аноним (146), 13:34 , 12-Окт-18, (146) https www freelan org, Анонимная триада (?), 18:54 , 06-Окт-18, (40) // А это вообще кошмар какой-то, плюсатый, с бустом, скунсом, и дюжиной огромных ли, Аноним (146), 13:38 , 12-Окт-18, (147) Было бы отлично, но ситуацию усугубляет то, что на впсках один хрен дистры предл, Аноним_ка (?), 16:58 , 06-Окт-18, (23) –3 // Ну, если уж так сильно хочется - выбираем kvm xen виртуализацию и собираем ядрыш, merifri (ok), 17:20 , 06-Окт-18, (24) +3 // Хм А хотя про репы я и не подумал, а в репах наверняка будет все , Аноним_ка (?), 17:52 , 06-Окт-18, (33) А в чем проблема найти full virt за сравнимые деньги, в пределах 1-2 Их есть , Аноним (146), 13:40 , 12-Окт-18, (148) VPS на базе OpenVZ Да там пофиг, какое ядро, все равно без высочайшего позволен, Fyjybv755 (?), 17:37 , 06-Окт-18, (27) Это проблема тех ВПСок, которыми ты пользуешься, не , Аноним (-), 18:39 , 06-Окт-18, (36) На нормальных ВПСках тебе дают возможность творить с системой что хочешь, нужно , Я русского поймал (?), 20:18 , 06-Окт-18, (46) +1 // Подтверждаю, нормальный VPSки FTW , Аноним (48), 20:26 , 06-Окт-18, (48) +1 // И главное они уже давно стоят вполне вменяемых денег Многие хостеры с кривым ov, Аноним (-), 13:46 , 12-Окт-18, (149) Производительность у WireGuard отличная, особенно в сравнении с OpenVPN, который, sec (?), 18:41 , 06-Окт-18, (37) +5 // Да, я тоже уже хотел свой роутер выкидывать и брать новый, ибо OpenVPN плохо тян, Гентушник (ok), 21:18 , 06-Окт-18, (53) +2 // скорость хорошая это сколько, если не секрет И на каком железе , Злой Админ (?), 13:14 , 09-Окт-18, (129) Там и подборка алгоритмов нормальная и в ядре к тому же Понятное дело что openv, Аноним (-), 13:47 , 12-Окт-18, (150) –1 Внезапно, WireGuard 8212 тоже однопоточный Не так давно обходил сей прескорб, PnDx (ok), 11:48 , 08-Окт-18, (103) Когда завезут в микротик, джунипер, аарис и циску , Анонимная триада (?), 19:05 , 06-Окт-18, (41) –2 // Когда они асилят нормальные ОСи, а не самописные костыли В общем исходники-то от, mumu (ok), 22:32 , 06-Окт-18, (57) +1 А нафига он в кошках-то Там своя реализация VPN отличная , Pofigist (?), 01:01 , 07-Окт-18, (61) +3 // Ох, как сказать отличная Насколько понимаю в этом wireguard накосячить можно ма, Аноним (73), 12:21 , 07-Окт-18, (73) // В таких случаях просто даем ему готовый конфиг А вообще если настройкой любого , Pofigist (?), 17:14 , 07-Окт-18, (84) +1 Естественно ты всё говоришь как надо Вот только жизнь иногда умеет шутить И пр, Аноним (73), 00:48 , 08-Окт-18, (95) с цисками в минимальном варианте - около 15 строчек конфига около пяти если все, нах (?), 10:51 , 08-Окт-18, (101) Угу, или федорка, где в 100500 версии лёниного пoдeлия опять и снова все передел, Аноним (123), 08:54 , 09-Окт-18, (123) Циска тебе априори не подконтрольна - сорцов у тебя нет, так что предлагается ве, Аноним (-), 13:49 , 12-Окт-18, (151) А что такой аарис , А (??), 01:38 , 11-Окт-18, (138) Лично мне он понравился Заводится влёт , есть в OpenWRT debian Ubuntu et, ABATAPA (ok), 20:20 , 06-Окт-18, (47) +3 Помогите разобраться в его настройке, скорее всего в правилах iptables На сервер, Ilya Indigo (ok), 20:35 , 06-Окт-18, (50) –2 // -AllowedIPs 192 168 13 1 24 AllowedIPs 0 0 0 0 0, Аноним (51), 20:53 , 06-Окт-18, (51) +1 // Если я так делаю то интернет на клиенте вообще перестаёт работать и у меня не п, Ilya Indigo (ok), 11:49 , 07-Окт-18, (70) // Покажите iptables-save и ip ro sh на сервере , Fyjybv755 (?), 13:14 , 07-Окт-18, (77) default via 192 168 0 1 dev enp0s10 proto dhcp src 192 168 0 2 metric 10192 168 , Ilya Indigo (ok), 15:59 , 07-Окт-18, (80) делай раз - apt purge ufw - все равно ты им пользоваться не обучен Или что у те, нах (?), 11:01 , 08-Окт-18, (102) +1 Благодарю Среди этого мусора я и впрямь это не разглядел У меня не Ubuntu с ufw , Ilya Indigo (ok), 16:47 , 08-Окт-18, (112) –1 да я в их сортах не того как вижу проделки интуитивно-приятных, так и удаляю , нах (?), 17:17 , 08-Окт-18, (114) +1 В инторнетах объявлен год Linux как в windows Новости в 11 , Andrey Mitrofanov (?), 17:36 , 08-Окт-18, (115) +1 В инторнетах объявлен год Linux как в windows ГООООД Are you serious about , нах (?), 12:45 , 09-Окт-18, (128) +1 Вот именно Теперь пора смеяться над теми, кто Вот сам пару раз попользовал, Andrey Mitrofanov (?), 08:50 , 10-Окт-18, (134) Проконсультируйте меня по iptables, пожалуйста Нужна ли вообще эта строчка в кон, Ilya Indigo (ok), 17:57 , 08-Окт-18, (116) –1 нет, потому что это неправильная строчка Правильная выглядит как-то так -A FORW, пох (?), 19:59 , 08-Окт-18, (122) +1 И что характерно - оба этих дружественных креатива годны только под деинсталл , Аноним (-), 13:55 , 12-Окт-18, (152) И тут мы понимаем, какой дизигн-фичур был _решающим_ в успехе system-d I I , Andrey Mitrofanov (?), 14:19 , 12-Окт-18, (154) То-есть на клиенте разрешен только маскарад без выхода в сеть , Аноним (55), 22:20 , 06-Окт-18, (55) // Если сделать то, что указано выше, разрешить клиенту полностью ходить через vpn,, Ilya Indigo (ok), 11:53 , 07-Окт-18, (71) // https technofaq org posts 2017 10 how-to-setup-wireguard-vpn-on-your-debian-gn, Аноним (79), 14:54 , 07-Окт-18, (79) +1 Благодарю за ссылки Первая похожая на арчевиковскую, по которой я настраивал,htt, Ilya Indigo (ok), 17:27 , 07-Окт-18, (85) Клиент подключен к интернету, только не имеет выделенного реального IP , Ilya Indigo (ok), 12:34 , 07-Окт-18, (75) sysctl net ipv4 ip_forward 1, KonstantinB (ok), 11:54 , 07-Окт-18, (72)   // Это у меня прописано и на сервере и на клиенте , Ilya Indigo (ok), 12:23 , 07-Окт-18, (74)   // На клиенте не надо Вроде выглядит правильно за исключением уже упомянутого 0 0 , KonstantinB (ok), 16:17 , 07-Окт-18, (81)   Если я могу зайти по ssh на 192 168 13 1 с клиента на сервер и наоборот, то пр, Ilya Indigo (ok), 16:27 , 07-Окт-18, (82)   А wg что выдает Туннель-то установлен Если нет, то попробуйте настроить безо вс, KonstantinB (??), 18:11 , 07-Окт-18, (86)   sudo wginterface wg0 public key private key hidden listening port 54589, Ilya Indigo (ok), 18:36 , 07-Окт-18, (89)   В последних релизах wg-quick стал творить странное и прописывать в тэйбл 0xca6c , Я русского поймал (?), 20:50 , 07-Окт-18, (90) +1   Благодарю Вас за желание мне помочь - Вроде разобрался, проблема была в firewa, Ilya Indigo (ok), 18:37 , 08-Окт-18, (119) –1   На сервере сделайте так etc wireguard wg0 conf Interface PrivateKey xxxxxxxxx, ABATAPA (ok), 20:55 , 07-Окт-18, (91) +2   Большая благодарность Заработало - 3 -ne 3 case 3 in iptables -, Ilya Indigo (ok), 17:10 , 08-Окт-18, (113) –1   А чем отличаются Ваши правилаiptables -t nat -I POSTROUTING -s 192 168 13 0 24 , Ilya Indigo (ok), 18:22 , 08-Окт-18, (117) –2   Лучше применять те, которые понимаешь I , Andrey Mitrofanov (?), 18:24 , 08-Окт-18, (118) –1   ssh работает поверх TCP Используй iperf или netcat , Аноним (93), 22:59 , 07-Окт-18, (93)   В новости не расскрывается как этот впн позволяет обходить двойной нат и прочее,, Аноним (52), 20:59 , 06-Окт-18, (52) –3 // Имеется ввиду одна сторона Никаких проблем нет с прохождением, обычный UDP траф, Озорной Гусь (?), 22:23 , 06-Окт-18, (56) По идее, надо STUN TURN прикручивать , Аноним (93), 23:04 , 07-Окт-18, (94) // То есть сделать tinc Уже сделали, работает , Pilat (ok), 00:13 , 11-Окт-18, (137) // А в нем крипто нормальное сделали все-таки в итоге Ну то-есть 25519 и прочие Ch, Аноним (-), 03:12 , 13-Окт-18, (155) You can further change the configuration as needed either by manually editing , Pilat (ok), 03:15 , 13-Окт-18, (156) Мне не надо BOTH Весь пойнт DJBшной крипты - в том что критичный криптокод небо, Аноним (160), 02:38 , 14-Окт-18, (160) Штука нужная хорошая Но какие же гавнистые и агресивные там разработчики это пр, Аноним (58), 23:25 , 06-Окт-18, (58) // А нельзя ли пруфца на это дело В чем их агрессия проявляется Глядя на реализаци, Аноним (160), 02:29 , 14-Окт-18, (159) Новость, конечно отличная, но когда же будет клиент для винды , Ващенаглухо (ok), 12:36 , 08-Окт-18, (107) –1 // Когда кто-нибудь его напишет Сам Джейсон точно этого делать не будет, я догадыв, KonstantinB (ok), 17:09 , 09-Окт-18, (131) Не понимаю смысла в нормальном впн под систему с встроенным кейлоггером А для т, Аноним (153), 14:01 , 12-Окт-18, (153) Значение знают А также какой это ППЦ даже для hello world , Аноним (110), 13:03 , 08-Окт-18, (110) –1 // Значение значительное, значит ся Вон чуть выше, http www opennet ru openfor, Andrey Mitrofanov (?), 13:52 , 08-Окт-18, (111) Большой недостаток WireGuard - для сети узлов A,B,C он не свяжет узлы A и C, есл, Pilat (ok), 00:08 , 10-Окт-18, (133) // Ну это уже вопрос поиска баланса между количеством фич и простотой , marios (ok), 00:24 , 14-Окт-18, (158) Из однопоточного юзерспейсного tinc на практике не удается выжать больше 600Mbps, Аноним (161), 23:36 , 29-Окт-18, (161) –1 1,2,4,11,13,23,37,41,47,50,52,58,107,110,133,161

Сообщения

[Сортировка по времени | RSS]

	72. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от KonstantinB (ok), 07-Окт-18, 11:54
	sysctl net.ipv4.ip_forward=1
	Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

	74. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Ilya Indigo (ok), 07-Окт-18, 12:23
	Это у меня прописано и на сервере и на клиенте.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от KonstantinB (ok), 07-Окт-18, 16:17
	На клиенте не надо. Вроде выглядит правильно (за исключением уже упомянутого 0/0 на клиенте). А UDP точно по дороге не режется?
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Ilya Indigo (ok), 07-Окт-18, 16:27
	> А UDP точно по дороге не режется? Если я могу зайти по ssh на 192.168.13.1 (с клиента на сервер) и наоборот, то предполагаю что не режется, хотя не знаю как это проверить. Мне кажется что-то с iptables не в порядке и проброс интернета на vpn-сервер не происходит.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от KonstantinB (??), 07-Окт-18, 18:11
	А wg что выдает? Туннель-то установлен? Если нет, то попробуйте настроить безо всяких wg-quick и прочих systemd, ручками - прямо как на официальном сайте в демонстрационном видеоролике, пока туннель сам по себе не заработает. А уж дальше можно разбираться с форвардингом, в настройке iptables для wireguard нет ничего особенного. А, еще проверьте таблицы маршрутизации, у меня как-то раз networkmanager выпердривался и лез куда его не просили.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Ilya Indigo (ok), 07-Окт-18, 18:36
	> А wg что выдает? Туннель-то установлен? sudo wg interface: wg0   public key:   private key: (hidden)   listening port: 54589   fwmark: 0xca6c peer:   endpoint: 178.219.173.13:51820   allowed ips: 0.0.0.0/0   latest handshake: 33 seconds ago   transfer: 6.15 KiB received, 43.07 KiB sent   persistent keepalive: every 25 seconds Конечно установлен, иначе бы сеть 192.168.13.0/24 не пинговалась, а так я по ssh захожу по ней. > Если нет, то попробуйте настроить безо всяких wg-quick и прочих systemd, ручками - прямо как на официальном сайте Без Quick/systemd настраивать не пробовал, но не думаю что это что-либо изменит, но всё же попробую. На оффсайте абсолютно идиотская конфигурация, где 2 пира и так находящиеся уже в одной сети, накидывают, зачем-то, ещё и vpn сверху. Если бы у меня на всех машинах был бы выделенный реальник, то мне бы и vpn не нужен был. В любом случае я не смогу повторить эту конфигурацию, так как у меня машины не могут без vpn видеть друг друга в обе стороны. NetworkManager у меня удалён, сетью рулит systemd-networkd. Совсем без systemd тоже не получится. Вот таблицы маршрутизации читать и проверять я не умею, к сожалению. :-(
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Для включения в состав ядра Linux предложен VPN WireGuard"	+1 +/–
	Сообщение от Я русского поймал (?), 07-Окт-18, 20:50
	В последних релизах wg-quick стал творить странное и прописывать в тэйбл 0xca6c роутинг, загляни туда ip r s table all У меня все прекрасно с инетом через WG-сервер, никаких проблем нет, к сожалению я сейчас без своего ноута и в другой стране, не могу тебе показать конфиги с клиента и роутинг, если подождешь неделю, пока я вернусь, то все свои конфиги дам
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Для включения в состав ядра Linux предложен VPN WireGuard"	–1 +/–
	Сообщение от Ilya Indigo (ok), 08-Окт-18, 18:37
	Благодарю Вас за желание мне помочь! :-) Вроде разобрался, проблема была в firewalld и последнем правиле, -A FORWARD -j REJECT --reject-with icmp-host-prohibited отбрасывающим все пакеты, и вместо iptables -A нужно было мне прописывать iptables -I. Хотя странно что, судя по гуглению, кроме меня об него никто не спотыкался.
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Для включения в состав ядра Linux предложен VPN WireGuard"	+2 +/–
	Сообщение от ABATAPA (ok), 07-Окт-18, 20:55
	На сервере сделайте так: /etc/wireguard/wg0.conf: Interface] PrivateKey = xxxxxxxxxxxxxx ListenPort = PortNo Table = off PostUp =  /etc/wireguard/wg_firewall.sh %i start PostDown = /etc/wireguard/wg_firewall.sh %i stop /etc/wireguard/wg_firewall.sh: #!/bin/bash exec >> /tmp/wg_firewall.sh.log 2>&1 set -x if [ $# -ne 2 ]; then         echo "No interface given. Usage: $0 <int> [start|stop]" >&2         exit 1 fi case "$2" in     start)         iptables -t nat -I POSTROUTING -s 192.168.13.0/24 ! -d 192.168.13.0/24 -j MASQUERADE         iptables -I FORWARD -i  $1 -o eth0 -j ACCEPT         iptables -I FORWARD -o  $1 -i eth0 -j ACCEPT         iptables -I FORWARD -i $1 -o $1 -j ACCEPT         ;;     stop)         iptables -t nat -D POSTROUTING -s 192.168.13.0/24 ! -d 192.168.13.0/24 -j MASQUERADE         iptables -D FORWARD -i  $1 -o eth0 -j ACCEPT         iptables -D FORWARD -o  $1 -i eth0 -j ACCEPT         iptables -D FORWARD -i $1 -o $1 -j ACCEPT         ;; esac Названия интерфейсов поправьте, если нужно. Разумеетсся, нужно включить forwarding (у Вас включен). На клиенте заворачиваете или всё через ip route replace default, или выборочно через ipset + iptables + ip rule.
	Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

	113. "Для включения в состав ядра Linux предложен VPN WireGuard"	–1 +/–
	Сообщение от Ilya Indigo (ok), 08-Окт-18, 17:10
	Большая благодарность! Заработало! :-) > sudo cat /tmp/wg_firewall.sh.log + '[' 3 -ne 3 ']' + case "$3" in + iptables -t nat -I POSTROUTING -s 192.168.13.0/24 '!' -d 192.168.13.0/24 -j MASQUERADE + iptables -I FORWARD -i wg0server -o enp0s10 -j ACCEPT + iptables -I FORWARD -o wg0server -i enp0s10 -j ACCEPT + iptables -I FORWARD -i wg0server -o wg0server -j ACCEPT > sudo iptables-save | grep FORWARD -A FORWARD -i wg0server -o wg0server -j ACCEPT -A FORWARD -i enp0s10 -o wg0server -j ACCEPT -A FORWARD -i wg0server -o enp0s10 -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -j FORWARD_direct -A FORWARD -j FORWARD_IN_ZONES_SOURCE -A FORWARD -j FORWARD_IN_ZONES -A FORWARD -j FORWARD_OUT_ZONES_SOURCE -A FORWARD -j FORWARD_OUT_ZONES -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A FORWARD_IN_ZONES -g FWDI_public -A FORWARD_OUT_ZONES -g FWDO_public Дело было в маршрутизации, как я и думал. Теперь нужно разобраться кто виноват firewalld со своим -A FORWARD -j REJECT --reject-with icmp-host-prohibited и нужно удалить где-то эту строку, или всё же прописать строки из вашего скрипта в PostUp и PostDown ?
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Для включения в состав ядра Linux предложен VPN WireGuard"	–2 +/–
	Сообщение от Ilya Indigo (ok), 08-Окт-18, 18:22
	А чем отличаются Ваши правила iptables -t nat -I POSTROUTING -s 192.168.13.0/24 ! -d 192.168.13.0/24 -j MASQUERADE iptables -I FORWARD -i wg0server -o enp10s0 -j ACCEPT iptables -I FORWARD -o wg0server -i enp10s0 -j ACCEPT iptables -I FORWARD -i wg0server -o wg0server -j ACCEPT От правил из предложенного для WireGuard конфига, в которых -A заменены на -I iptables -I FORWARD -i wg0server -j ACCEPT iptables -I FORWARD -o wg0server -j ACCEPT iptables -t nat -I POSTROUTING -o enp10s0 -j MASQUERADE И какие лучше применять, если они оба работают?
	Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

	118. "Для включения в состав ядра Linux предложен VPN WireGuard"	–1 +/–
	Сообщение от Andrey Mitrofanov (?), 08-Окт-18, 18:24
	> И какие лучше применять, если они оба работают? Лучше применять те, которые понимаешь!
	Ответить | Правка | Наверх | Cообщить модератору

	93. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Аноним (93), 07-Окт-18, 22:59
	>> А UDP точно по дороге не режется? > Если я могу зайти по ssh на 192.168.13.1 (с клиента на сервер) и наоборот, то предполагаю что не режется, хотя не знаю как это проверить. ssh работает поверх TCP. Используй iperf или netcat.
	Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема