为什么在 Wireguard 环境中我可以 ping 客户端 → 服务器,但不能 ping 服务器 → 客户端?

tag-icon tag-icon vpn wireguard
为什么在 Wireguard 环境中我可以 ping 客户端 → 服务器,但不能 ping 服务器 → 客户端?

我已经在 Arch 服务器上设置了 Wireguard(该服务器既在 LAN192.168.10.0/24网络上192.168.10.2,又在 WG 网络上(192.168.20.0/24,他是192.168.20.0)。

我从互联网上的客户端连接到该服务器(我将使用客户服务器单词以清楚地说明我所谈论的是哪些同行)。 WG IP 是192.168.20.3

什么有效

我可以从客户端连接到服务器→从客户端来看,以下所有操作均正常

  • ping 192.168.20.0→ 客户端到服务器上的 WG 端点
  • ping 192.168.10.2→ 客户端到服务器 LAN IP
  • ping 192.168.10.68→ 客户端到 LAN 上的一台机器

什么不起作用

我无法从服务器 ping 通客户端:

root@srv ~# ping 192.168.20.3
PING 192.168.20.3 (192.168.20.3) 56(84) bytes of data.

^C
--- 192.168.20.3 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6081ms

由于客户端 → 服务器连接正常,这意味着路由正常(数据包可以到达 LAN 上的设备然后返回)

服务器上的路由表:

root@srv ~ [1]# ip r
default via 192.168.10.1 dev enp3s0 proto static
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
172.18.0.0/16 dev br-4f4174b6b888 proto kernel scope link src 172.18.0.1
192.168.10.0/24 dev enp3s0 proto kernel scope link src 192.168.10.2
192.168.10.0/24 dev wg0 proto static scope link
192.168.20.0/24 dev wg0 proto kernel scope link src 192.168.20.0

在客户端上:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.113     45
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0         On-link     192.168.0.113    301
    192.168.0.113  255.255.255.255         On-link     192.168.0.113    301
    192.168.0.255  255.255.255.255         On-link     192.168.0.113    301
     192.168.10.0    255.255.255.0         On-link      192.168.20.3      5
   192.168.10.255  255.255.255.255         On-link      192.168.20.3    261
     192.168.20.0    255.255.255.0         On-link      192.168.20.3      5
     192.168.20.3  255.255.255.255         On-link      192.168.20.3    261
   192.168.20.255  255.255.255.255         On-link      192.168.20.3    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.0.113    301
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.0.113    301
===========================================================================
Persistent Routes:
  None

答案1

这是因为我的笔记本电脑(“客户端”)上的防火墙会丢弃所有传入的数据包(除了一些服务),而且由于这是一个集中管理的服务,所以我无法采取任何措施来修复连接。

相关内容