具有两个接口的 Wireguard 客户端 - 使用一个接口来管理 Wireguard

Question

我认为这个问题分为三个部分：

允许通过 WireGuard 远程访问主机服务
一个网络接口的默认路由首选项
通过其他网络接口路由某些流量

要达到 3，您必须修复 1 和 2。

1.允许通过 WireGuard 远程访问主机服务

您的问题中没有包含 WireGuard 配置，但听起来所讨论的机器的 WireGuard 配置（我将其称为本地的 Host L）看起来像这样：

# wg0 on Host L
[Interface]
PrivateKey = ABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBFA=
Address = 10.68.9.2/32
ListenPort = 51820

[Peer]
PublicKey = /TOE4TKtAqVsePRVR+5AA43HkAK5DSntkOCO7nYq5xU=
AllowedIPs = 0.0.0.0/0

如果您将对等点的配置设置为AllowedIPs = 0.0.0.0/0，当 wg-quick 启动 wg0 接口时，它将在主机上设置一些路由规则，以通过 wg0 路由所有流量（除了您在主路由表中明确指定的任何非默认路由）。这似乎会“淘汰”除通过 WireGuard 之外的远程入站访问。

在您的场景中，听起来您希望通过主机 L 上的 wg0 的唯一流量是来自特定远程主机（或多个类似的远程主机）的流量，这些远程主机直接连接到 WireGuard 隧道的另一端；我将其称为主机 R（代表远程）。将AllowedIPs主机 L 上的设置更改为主机 R 仅使用该远程主机的 WireGuard IP 地址。

例如，如果主机 R 的 WireGuard 配置如下：

# wg0 on Host R
[Interface]
PrivateKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEE=
Address = 10.68.9.1/32

# connection to Host L
[Peer]
PublicKey = fE/wdxzl0klVp/IR8UcaoGUMjqaWi3jAd7KzHKFS6Ds=
AllowedIPs = 10.68.9.2/32
Endpoint = 203.0.113.2:51820

更改AllowedIPs主机 L 上的设置，以用于10.68.9.1/32代表主机 R 的对等端：

# wg0 on Host L
[Interface]
PrivateKey = ABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBFA=
Address = 10.68.9.2/32
ListenPort = 51820

# connection to Host R
[Peer]
PublicKey = /TOE4TKtAqVsePRVR+5AA43HkAK5DSntkOCO7nYq5xU=
AllowedIPs = 10.68.9.1/32

然后删除您在问题中提到的有关主机 L 的所有 iptables 规则，除了这两条：

iptables -I INPUT 1 -i wg0 -j ACCEPT
iptables -I INPUT 1 -i eth0 -p udp --dport 51820 -j ACCEPT

更改配置后重新启动 WireGuard，现在您应该能够使用主机 L 的 WireGuard IP 地址从主机 R 访问主机 L 上运行的任何服务。例如，如果您在主机 L 的端口 3100 上运行了一个 Web 服务器，您应该能够以的身份从主机 R 访问它http://10.68.9.2:3100。

2. 一个网络接口的默认路由首选项

假设Endpoint主机 R 的 WireGuard 配置中的 IP 地址（203.0.113.2上文）是将 UDP 端口 51820 转发到的路由器的 IP 地址192.168.0.192，即主机 L 的 eth0 接口的 IP 地址，则您无需执行任何其他操作即可确保入站使用 WireGuard 的连接通过主机 L 的 eth0 接口（或入站使用主机 L 上的 wlan0 的 IP 地址连接到主机 L，192.168.0.105使用 wlan0 接口）。

但是，由于接口 eth0 上的度量为100，而 wlan0 上的度量为600，因此对于主机 L 发起的任何连接出站，主机 L 将尝试使用 eth0 而不是 wlan0。如果您想反转这一点，并使 wlan0 成为出站连接的首选，则需要重新配置一个或两个接口，以使 wlan0 的度量低于 eth0 的度量。这些答案涵盖了执行此操作的几个不同选项：

3. 通过其他网络接口路由某些流量

如果您将主机 L 上的 eth0 和/或 wlan0 的度量值更改为默认使用 wlan0 进行出站连接，那么如果您想确保主机 L 将通过 eth0 路由出站 WireGuard 连接，则需要进行一些路由更改。

如果主机 R 具有静态 IP 地址，则只需在主机 L 的主路由表中添加一条简单路由即可。假设主机 R 具有静态 IP 地址198.51.100.1。然后，您只需在主机 L 上添加此路由即可：

ip route add 198.51.100.1/32 via 192.168.0.1 dev eth0

但是，如果主机 R 没有固定 IP 地址（或固定地址池或地址范围），则必须为其设置一些策略路由。首先在主机 L 上添加自定义路由表（编号123，或其他未使用的表编号），并为 eth0 设置默认路由：

ip route add default via 192.168.0.1 dev eth0 table 123

然后添加一个策略规则，以便将此新表用于任何标记的数据包0x7b（或您想要使用的其他标记值）：

ip rule add fwmark 0x7b table 123

最后，在主机 L 上配置 WireGuard，以使用以下标记来标记 WireGuard 发出的数据包0x7b（或上述策略规则使用的任何标记值）：

# wg0 on Host L
[Interface]
PrivateKey = ABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBFA=
Address = 10.68.9.2/32
ListenPort = 51820
FwMark = 0x7b

[Peer]
PublicKey = /TOE4TKtAqVsePRVR+5AA43HkAK5DSntkOCO7nYq5xU=
AllowedIPs = 10.68.9.1/32

重新启动 WireGuard。主机 L 现在将始终通过其 eth0 接口发送 WireGuard 流量。

Answer 1

我认为这个问题分为三个部分：

允许通过 WireGuard 远程访问主机服务
一个网络接口的默认路由首选项
通过其他网络接口路由某些流量

要达到 3，您必须修复 1 和 2。

1.允许通过 WireGuard 远程访问主机服务

您的问题中没有包含 WireGuard 配置，但听起来所讨论的机器的 WireGuard 配置（我将其称为本地的 Host L）看起来像这样：

# wg0 on Host L
[Interface]
PrivateKey = ABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBFA=
Address = 10.68.9.2/32
ListenPort = 51820

[Peer]
PublicKey = /TOE4TKtAqVsePRVR+5AA43HkAK5DSntkOCO7nYq5xU=
AllowedIPs = 0.0.0.0/0

如果您将对等点的配置设置为AllowedIPs = 0.0.0.0/0，当 wg-quick 启动 wg0 接口时，它将在主机上设置一些路由规则，以通过 wg0 路由所有流量（除了您在主路由表中明确指定的任何非默认路由）。这似乎会“淘汰”除通过 WireGuard 之外的远程入站访问。

在您的场景中，听起来您希望通过主机 L 上的 wg0 的唯一流量是来自特定远程主机（或多个类似的远程主机）的流量，这些远程主机直接连接到 WireGuard 隧道的另一端；我将其称为主机 R（代表远程）。将AllowedIPs主机 L 上的设置更改为主机 R 仅使用该远程主机的 WireGuard IP 地址。

例如，如果主机 R 的 WireGuard 配置如下：

# wg0 on Host R
[Interface]
PrivateKey = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEE=
Address = 10.68.9.1/32

# connection to Host L
[Peer]
PublicKey = fE/wdxzl0klVp/IR8UcaoGUMjqaWi3jAd7KzHKFS6Ds=
AllowedIPs = 10.68.9.2/32
Endpoint = 203.0.113.2:51820

更改AllowedIPs主机 L 上的设置，以用于10.68.9.1/32代表主机 R 的对等端：

# wg0 on Host L
[Interface]
PrivateKey = ABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBFA=
Address = 10.68.9.2/32
ListenPort = 51820

# connection to Host R
[Peer]
PublicKey = /TOE4TKtAqVsePRVR+5AA43HkAK5DSntkOCO7nYq5xU=
AllowedIPs = 10.68.9.1/32

然后删除您在问题中提到的有关主机 L 的所有 iptables 规则，除了这两条：

iptables -I INPUT 1 -i wg0 -j ACCEPT
iptables -I INPUT 1 -i eth0 -p udp --dport 51820 -j ACCEPT

更改配置后重新启动 WireGuard，现在您应该能够使用主机 L 的 WireGuard IP 地址从主机 R 访问主机 L 上运行的任何服务。例如，如果您在主机 L 的端口 3100 上运行了一个 Web 服务器，您应该能够以的身份从主机 R 访问它http://10.68.9.2:3100。

2. 一个网络接口的默认路由首选项

假设Endpoint主机 R 的 WireGuard 配置中的 IP 地址（203.0.113.2上文）是将 UDP 端口 51820 转发到的路由器的 IP 地址192.168.0.192，即主机 L 的 eth0 接口的 IP 地址，则您无需执行任何其他操作即可确保入站使用 WireGuard 的连接通过主机 L 的 eth0 接口（或入站使用主机 L 上的 wlan0 的 IP 地址连接到主机 L，192.168.0.105使用 wlan0 接口）。

但是，由于接口 eth0 上的度量为100，而 wlan0 上的度量为600，因此对于主机 L 发起的任何连接出站，主机 L 将尝试使用 eth0 而不是 wlan0。如果您想反转这一点，并使 wlan0 成为出站连接的首选，则需要重新配置一个或两个接口，以使 wlan0 的度量低于 eth0 的度量。这些答案涵盖了执行此操作的几个不同选项：

3. 通过其他网络接口路由某些流量

如果您将主机 L 上的 eth0 和/或 wlan0 的度量值更改为默认使用 wlan0 进行出站连接，那么如果您想确保主机 L 将通过 eth0 路由出站 WireGuard 连接，则需要进行一些路由更改。

如果主机 R 具有静态 IP 地址，则只需在主机 L 的主路由表中添加一条简单路由即可。假设主机 R 具有静态 IP 地址198.51.100.1。然后，您只需在主机 L 上添加此路由即可：

ip route add 198.51.100.1/32 via 192.168.0.1 dev eth0

但是，如果主机 R 没有固定 IP 地址（或固定地址池或地址范围），则必须为其设置一些策略路由。首先在主机 L 上添加自定义路由表（编号123，或其他未使用的表编号），并为 eth0 设置默认路由：

ip route add default via 192.168.0.1 dev eth0 table 123

然后添加一个策略规则，以便将此新表用于任何标记的数据包0x7b（或您想要使用的其他标记值）：

ip rule add fwmark 0x7b table 123

最后，在主机 L 上配置 WireGuard，以使用以下标记来标记 WireGuard 发出的数据包0x7b（或上述策略规则使用的任何标记值）：

# wg0 on Host L
[Interface]
PrivateKey = ABBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBFA=
Address = 10.68.9.2/32
ListenPort = 51820
FwMark = 0x7b

[Peer]
PublicKey = /TOE4TKtAqVsePRVR+5AA43HkAK5DSntkOCO7nYq5xU=
AllowedIPs = 10.68.9.1/32

重新启动 WireGuard。主机 L 现在将始终通过其 eth0 接口发送 WireGuard 流量。

具有两个接口的 Wireguard 客户端 - 使用一个接口来管理 Wireguard

答案1

1.允许通过 WireGuard 远程访问主机服务

2. 一个网络接口的默认路由首选项

3. 通过其他网络接口路由某些流量

相关内容