Wireguardがインストールされており、ローカルリソースにアクセスするのはうまく機能しますが、交通迷彩を開始できず、インターネットアクセスを開くことができません。 Red Hat の指示には、Wireguard を介して接続されたクライアントのインターネットアクセスを有効にする方法の段階的な説明は含まれておらず、以前の方法で設定すると以前のバージョンでは機能しません。SELINUX=disabled誰かがこの問題を解決する方法を理解していますか?
サーバーのwg0.conf
[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = ACvFwT2hwYQJi4oI1f1cMgJyH8fFtmQ3j4QV1sjqcm0=
[Peer]
PublicKey = RvQSExSi6KUzxqFXjfCWNkH1uLRw96OMF/F/OY74Qys=
AllowedIPs = 10.10.0.2
Wireguardを起動してポートを開きます。
systemctl enable --now wg-quick@wg0
firewall-cmd --permanent --zone=public --add-port=51820/udp
firewall-cmd --permanent --change-zone=wg0 --zone=work
firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --reload
クライアント構成
[Interface]
PrivateKey = iMkLdAEgXm4SQebjhcd/h7qE4Gu0glm25Uug6BjIrnc=
Address = 10.10.0.2/24
DNS = 1.1.1.1
[Peer]
PublicKey = 0Uryjm4u1VdJ4ggVabPx+YyiMJG5xnBdvGlbE1ZvqHc=
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1
Endpoint = serverIp:51820
PersistentKeepalive = 20
以前のバージョンRocky 8では、Wireguardに接続したときにインターネットアクセスが正しく機能するのに十分でした。
sudo vi /etc/sysctl.conf
net.ipv4.ip_forward=1
firewall-cmd --permanent --zone=public --add-masquerade
upd: 構成 bash スクリプトを生成して実行します。
vi shell.sh
chmod +x shell.sh
./shell.sh
スクリプト内容
#!/bin/bash
yes | yum install -y epel-release 2>&1;
yes | yum update -y 2>&1;
yes | yum install wireguard-tools -y 2>&1;
#wireguard
$(wg genkey | tee /etc/wireguard/$HOSTNAME.private.key | wg pubkey > /etc/wireguard/$HOSTNAME.public.key)
privateKey=$(<"/etc/wireguard/$HOSTNAME.private.key")
cat > /etc/wireguard/wg0.conf <<EOF
[Interface]
Address = 10.10.0.1/24
ListenPort = 51820
PrivateKey = $privateKey
[Peer]
PublicKey = PEER-PUBLIC-KEY_HERE
AllowedIPs = 10.10.0.2
EOF
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
firewall-cmd --permanent --zone=public --add-port=51820/udp
firewall-cmd --permanent --zone=public--add-masquerade
firewall-cmd --reload
systemctl enable --now wg-quick@wg0
/etc/wireguard/wg0.conf*ユーザーキーを所定の位置に再定義してPEER-PUBLIC-KEY_HERE実行する必要があるため、サービスは開始されません。systemctl enable --now wg-quick@wg0
出力
iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
ベストアンサー1
まず、キーをスタックに貼り付けてはいけません。これを同様のものに置き換えて、セキュリティREDACTEDのために新しいキーペアを作成する必要があります。
AllowedIPsクライアントからピア構成ブロックがあるサーバーに0.0.0.0/1変更して、もう一度やり直してください。0.0.0.0/010.10.0.2/32
うまくいかない場合は、インターフェースを手動で設定してwg-quickなしでサーバー側のすべてを試してください。 wg-quickはいくつかの奇妙なことができるので、試してみる価値があります。
それが何をしているのかよく分からない。
firewall-cmd --permanent --change-zone=wg0 --zone=work
ただし、eth0とwg0の間のFirewalldでIP転送が有効になっていることを確認してください。これもブロックされる可能性があります。
私は個人的にiptables / nftablesラッパーが好きではなく、それが何をしているのか理解していませんが、そのルールの領域は他の領域とは異なるように見えるため、誤ったファイアウォール構成のためにブロックされる可能性があります。特に、基本的な配信が次のような場合にはさらにそうです。戦略ケース拒否を設定します。