Wireguardを起動した後、パブリックIPを使用してサーバーのサービスにアクセスすることはできません。

Question

私はそれについて考えた。もちろん、問題は要求がeth0に移動しますが、応答はWireguardトンネル（wg1）を介して送信され、別のIPを使用してクライアントに到達することです。

Request: Client -> Internet -> Router [NAT] -> Server  
Response: Server -> Router [NAT] -> Internet -> VPN Provider [NAT] -> Internet -> Client

したがって、このような場合は、ルールを追加してデフォルトのルーティングテーブルを使用してVPNトンネルをバイパスする必要があります。

ip rule add from <interface IP> lookup main

例:

$ ip a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:ed:fc:a5:65 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever

$ ip rule add from 192.168.0.2 lookup main

$ ip route show table main
default via 192.168.0.1 dev eth0 src 192.168.0.2 metric 202
192.168.0.0/24 dev eth0 proto dhcp scope link src 192.168.0.2 metric 202

$ ip rule show
0:      from all lookup local
32756:  from 192.168.178.2 lookup main
32761:  from all lookup main suppress_prefixlength 0
32762:  not from all fwmark 0xca6c lookup 51820
32766:  from all lookup main
32767:  from all lookup default

私の場合、ローカルネットワークの外部からアクセスしたいサービスはWireguardサーバーでした。 Wireguardクライアントがローカルネットワークとインターネットにアクセスするには、次の規則も追加する必要があります。

ip rule add from <Wireguard IP range> lookup main

例:

$ ip a
11: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.6.0.1/24 scope global wg0
   valid_lft forever preferred_lft forever

$ ip rule add from 10.6.0.1/24 lookup main

Answer 1

私はそれについて考えた。もちろん、問題は要求がeth0に移動しますが、応答はWireguardトンネル（wg1）を介して送信され、別のIPを使用してクライアントに到達することです。

Request: Client -> Internet -> Router [NAT] -> Server  
Response: Server -> Router [NAT] -> Internet -> VPN Provider [NAT] -> Internet -> Client

したがって、このような場合は、ルールを追加してデフォルトのルーティングテーブルを使用してVPNトンネルをバイパスする必要があります。

ip rule add from <interface IP> lookup main

例:

$ ip a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:ed:fc:a5:65 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global noprefixroute eth0
       valid_lft forever preferred_lft forever

$ ip rule add from 192.168.0.2 lookup main

$ ip route show table main
default via 192.168.0.1 dev eth0 src 192.168.0.2 metric 202
192.168.0.0/24 dev eth0 proto dhcp scope link src 192.168.0.2 metric 202

$ ip rule show
0:      from all lookup local
32756:  from 192.168.178.2 lookup main
32761:  from all lookup main suppress_prefixlength 0
32762:  not from all fwmark 0xca6c lookup 51820
32766:  from all lookup main
32767:  from all lookup default

私の場合、ローカルネットワークの外部からアクセスしたいサービスはWireguardサーバーでした。 Wireguardクライアントがローカルネットワークとインターネットにアクセスするには、次の規則も追加する必要があります。

ip rule add from <Wireguard IP range> lookup main

例:

$ ip a
11: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.6.0.1/24 scope global wg0
   valid_lft forever preferred_lft forever

$ ip rule add from 10.6.0.1/24 lookup main

Wireguardを起動した後、パブリックIPを使用してサーバーのサービスにアクセスすることはできません。

ベストアンサー1

おすすめ記事