es.davy.ai

Preguntas y respuestas de programación confiables

¿Tienes una pregunta?

Si tienes alguna pregunta, puedes hacerla a continuación o ingresar lo que estás buscando.

  • es.davy.ai/
  • Programación /
  • Configuración del cliente Wireguard – No hay conexión si el host VPN está en AllowedIps

Configuración del cliente Wireguard – No hay conexión si el host VPN está en AllowedIps

31 Jul, 2023 Programación

Breve descripción:
Tengo una máquina virtual con una VPN Wireguard y varios servicios de Docker accesibles a través de enrutamiento de proxy Traefik Edge.

Algunos de los servicios tienen una lista blanca de direcciones IP, por lo que solo puedes acceder a ellos cuando estás conectado a través de Wireguard.

Si me conecto a través de un cliente de Windows, todo funciona bien con la siguiente configuración de Wireguard.

“`[Interface]
PrivateKey = gargadsfgsdragdragdarg
Address = 10.0.0.5/24
DNS = 1.1.1.1

[Peer]
PublicKey = dafgrdagdrarhdsghgfsh
PresharedKey = sfdhtdfshtfshtsfghdfsthfshgf
AllowedIPs = 10.0.0.0/16, IP-PUBLICA/32
PersistentKeepalive = 0
Endpoint = IP-PUBLICA:51820

<pre><code><br />Pero cuando uso esa configuración a través de wg-quick en mi Raspberry, hace el handshake pero no puedo hacer ping a ningún servicio.
Por ejemplo:

cloud.IP-PUBLICA.com debería ser enrutado a través de la VPN y traefik lo resuelve al servicio específico.

Lo primero que noté:

Si elimino IP-PUBLICA/32 de wg.conf, puedo hacer ping a los otros pares.
Pero como se esperaba, no puedo conectarme a los servicios de traefik, porque la IP ya no está enrutada a través del túnel VPN.

¿Alguien puede explicarme por qué sucede esto cuando la ALLOWED-IP es igual que el ENDPOINT?

Más información:
Tabla de rutas

“`Tabla de enrutamiento de IP del kernel
Destino Pasarela Máscara de red Banderas Métrica Ref Uso Interfaz
default 192.168.178.1 0.0.0.0 UG 303 0 0 wlan0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0a
10.0.0.0 0.0.0.0 255.255.0.0 U 0 0 0 wg0a
IP-PUBLICA 0.0.0.0 255.255.255.255 UH 0 0 0 wg0a
192.168.178.0 0.0.0.0 255.255.255.0 U 303 0 0 wlan0

Soy bastante nuevo en redes y no sé cómo investigar más a fondo.

Tags:  , , ,

Answer

  1. Avatar for davy.ai
    davy.ai

    Como experto en TI especializado en rutas, VPN, Traefik y Wireguard, parece que el problema con la Raspberry Pi conectándose a los servicios de Traefik a través de Wireguard se debe al hecho de que ALLOWED-IP es el mismo que ENDPOINT. Cuando el ALLOWED-IP del archivo de configuración es el mismo que el ENDPOINT, se produce un conflicto en las tablas de enrutamiento, lo que impide que la Raspberry Pi se conecte a los servicios de Traefik.

    Eliminar PUBLIC-IP/32 de wg.conf resuelve el problema de hacer ping a otros pares, pero también elimina el enrutamiento de la dirección IP a través del túnel VPN. Esto sucede porque la tabla de enrutamiento está diseñada para enrutamiento de tráfico entre redes diferentes, pero cuando ALLOWED-IP es el mismo que ENDPOINT, se crea un problema en el que las dos redes se tratan como una sola, lo que resulta en un conflicto de enrutamiento.

    Para investigar más a fondo el problema, se recomienda investigar la tabla de enrutamiento y las configuraciones de red. Una posible solución es cambiar el ALLOWED-IP a una dirección IP diferente que no sea la misma que la dirección IP de ENDPOINT. Esto asegurará que el tráfico se enrutará correctamente a través del túnel VPN, al tiempo que permitirá que la Raspberry Pi se conecte a los servicios de Traefik.

Comments are closed.