Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  8 1377
Hello freaker av alle typer

Jeg jobber med en konsept der jeg prøver å sveise sammen
et skynettverk og et lokalt nettverk på en noelunde intelligent måte.

Jeg vet at dette skal kunne gå ann, men jeg sliter litt med iptables kommandoene mine.



Uten at jeg gjør noe spesielt, så vil cloud1/2 kunne se alle maskinene
på det lokale nettverket og kunne sende pakker til maskinene der,
men lokale maskiner kan ikke se det som ligger inne i VPN'en.

Dette lager 2 problemer:

1. Lokale maskiner kan ikke sende pakker til listeneren på cloud maskiner
2. Det vil alltid se ut som om maskinen som svarer er eth0 på wireguard serveren.

Finnes det en god måte å gjøre en 1:1 nating mellom eth0:0 på wg server og wg0 på cloud1,
evt 1:1 nating på IP adressene internt på wg server?

Jeg er blitt veldig lei av trege nettverks-teknikkere hos kundene mine,
og vil helst unngå og legge VPN inn på deres varierte og utdaterte rutere
Kvifor vil du køyre NAT? Er ikkje full ruting betre?
Kanskje det, hvordan gjør jeg det?

Jeg vet jeg er litt ny til disse nettverkstingene og er åpen for forslag.
Med Linux? Skru på IP forwarding.

https://linuxconfig.org/how-to-turn-...rding-in-linux

Då vil maskiner som har boksen din som default gateway kunne sjå det som henger bak den. Rutingen setter du i den vanlege rutingtabellen, og ip_forward-flagget seier at maskina skal forwarde for andre.

https://unix.stackexchange.com/quest...-ip-forwarding
Ah, det var det jeg ville ungå,
det å sette alle kunde-maskinene sine nettverks gateways til min nye server er no-go.

Blir rett og slett for mye styr,
derfor jeg ønsker å NAT'e i stedet for å route.
Du må fortsatt ha ei rute på et vis, eller bruke arpproxy-opplegg. Kva ruter har dei i dag? Kan du legge til ei statisk rute der?
Jeg tenker jeg bare skal be om en IP og bruke det som en proxy IP for cloud ipen.

Jeg driver og tester her hjemme:

root@wireguard:~# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.0.168 netmask 255.255.255.0 broadcast 192.168.0.255
inet6 fe80::20c:29ff:feba:cb9 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:ba:0c:b9 txqueuelen 1000 (Ethernet)
RX packets 5102 bytes 6937064 (6.6 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1113 bytes 101777 (99.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ens33:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.0.31 netmask 255.255.255.0 broadcast 192.168.0.255
ether 00:0c:29:ba:0c:b9 txqueuelen 1000 (Ethernet)

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 80 bytes 6480 (6.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 80 bytes 6480 (6.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420
inet 10.66.66.1 netmask 255.255.255.0 destination 10.66.66.1
inet6 fd42:42:42::1 prefixlen 64 scopeid 0x0<global>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Vis hele sitatet...
Ideelt sett vill en request fra 10.66.66.2 komme ut gjennom ens33:0,
og alle requester til ens33:0 vil gå rett til 10.66.66.2 .
iptables -t nat -A POSTROUTING -o wg0 -j SNAT --to 10.66.66.1
iptables -t nat -A PREROUTING -i ens33 -j DNAT --to 10.66.66.2
Nummer 2 fungerer med en liten modifikasjon:

iptables -t nat -A PREROUTING -i ens33:0 -j DNAT --to 10.66.66.2

Nå, når jeg ssh'er maskiner på lokalnettverket, så oppgir den at
trafikken kommer fra 192.168.0.31 .

Men jeg får fortsatt ikke en rute tilbake til sky maskinen fra lokal-nettverket.
Når jeg ssh'er 192.168.0.31 så kommer jeg bare til wireguard serveren, ikke til sky-serveren.

root@pyro-nvme:~# ifconfig wg0
wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420
inet 10.66.66.2 netmask 255.255.255.255 destination 10.66.66.2
inet6 fd42:42:42::2 prefixlen 128 scopeid 0x0<global>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 260 bytes 42256 (41.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 400 bytes 51336 (50.1 KiB)
TX errors 0 dropped 7 overruns 0 carrier 0 collisions 0

root@pyro-nvme:~# ssh pyro@192.168.0.189
pyro@192.168.0.189's password:
___ _ _ _ __ ___ _ _ _
/ _ \ __| |_ __ ___ (_) __| | \ \/ / | | | || |
| | | |/ _` | '__/ _ \| |/ _` | \ /| | | | || |_
| |_| | (_| | | | (_) | | (_| | / \| |_| |__ _|
\___/ \__,_|_| \___/|_|\__,_| /_/\_\\___/ |_|

Welcome to Armbian 20.08.5 Buster with Linux 5.4.65-odroidxu4

System load: 1% Up time: 59 days 9:38
Memory usage: 10% of 1.94G IP: 192.168.0.189 192.168.0.189
CPU temp: 58°C Usage of /: 9% of 30G

[ General system configuration (beta): armbian-config ]

Last login: Sun Nov 29 12:49:13 2020 from 192.168.0.31
pyro@xu4:~$ env | grep SSH
SSH_CONNECTION=192.168.0.31 58298 192.168.0.189 22
SSH_CLIENT=192.168.0.31 58298 22
SSH_TTY=/dev/pts/2
pyro@xu4:~$ ssh 192.168.0.31
pyro@192.168.0.31's password:
Linux wireguard 5.8.0-0.bpo.2-amd64 #1 SMP Debian 5.8.10-1~bpo10+1 (2020-09-26) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Nov 29 11:12:37 2020 from 192.168.0.199
-bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)
pyro@wireguard:~$ ifconfig wg0
-bash: ifconfig: command not found
pyro@wireguard:~$ sudo ifconfig wg0
wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 1420
inet 10.66.66.1 netmask 255.255.255.0 destination 10.66.66.1
inet6 fd42:42:42::1 prefixlen 64 scopeid 0x0<global>
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 1000 (UNSPEC)
RX packets 281 bytes 37024 (36.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 203 bytes 33940 (33.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

pyro@wireguard:~$
Vis hele sitatet...
Jeg setter stor pris på hjelpen din

Edit timeren gikk ut, quoten ble litt stygg of uoversiktlig, så her er i bilde format:
Sist endret av Pyro_Killer; 29. november 2020 kl. 14:00. Grunn: Automatisk sammenslåing med etterfølgende innlegg.