↑↑↓↓←→←→ⒷⒶ Войти !bnw Сегодня Клубы
Кто проживает на дне океана^W^W^Wмежду mangle forward и filter forward? У меня есть конфигурация openvpn и конфигурация wireguard, с /24 подсетями, и натом из них в интернет. sysctl на интерфейсах одинаковые, за вычетом net.ipv6.conf.%i.stable_secret, правила в фаерволле одинаковые, форвардинг включен, правил роутинга нет. Тем не менее. Пакеты OpenVPN ходят в интернет и обратно заебись, а исходящие пакеты wireguard вылезают из интерфейса, лезут в фаерволл, едут до mangle filter и судя по -j LOG, после него теряются. https://pastebin.com/AxTMWrbH
#DI5YGZ / @stiletto / 1881 день назад

штилетта пиздобол и пидорас
#DI5YGZ/JZ0 / @anonymous / 1881 день назад
возможно вы имели ввиду: как переустановить убанду
#DI5YGZ/XBC / @anonymous / 1881 день назад
> wireguard Твоя проблема здесь.
#DI5YGZ/WDM / @l29ah / 1881 день назад

Есть тупое предложение маркировать разными числами трафик с двух интерфейсов и писать две строчки с MASQUERADE, либо поменять местами команды для них и проверить, будет ли тогда работать второй вместо первого.

#DI5YGZ/R52 / @ceyt / 1881 день назад
@ceyt а оно не доезжает до MASQUERADE в POSTROUTING, это и так известно и подтверждено -j LOG. POSTROUTING после FORWARD.
#DI5YGZ/RZK / @stiletto --> #DI5YGZ/R52 / 1880 дней назад

@stiletto Если сделать NAT только для wireguard, он тоже не работает? Если SNAT с IP-адресом на время поставить вместо MASQUERADE?

Иначе может быть, что wg не пинает ядро после каких-то манипуляций с содержимым своих пакетов, и оно думает, что те уже приехали на останивку: https://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO-6.html
Ещё можно проверить, что в конфиге wg разрешены все нужные адреса.

#DI5YGZ/5PC / @ceyt --> #DI5YGZ/RZK / 1880 дней назад
@ceyt SNAT не работает. Можно писать вообще любые правила в POSTROUTING, пакетов из wireguard в цепочке всё равно нет.
#DI5YGZ/8QL / @stiletto --> #DI5YGZ/5PC / 1879 дней назад

@stiletto Судя по схеме чернобыльского реактора, такое может быть только в том случае, когда пакет идёт в локальную систему. У тебя, случайно, строчка лога на FORWARD и filter не совпадает со строчкой лога на INPUT и filter? Если всё правильно, то ещё одна причина подозревать случай по ссылке выше (пакет приходит из сети, перехватывается модулем wireguard, он творит какую-то магию, меняя адреса и содержание, но не сбрасывая какие-то поля, в которых всё ещё записано, что пакет направляется внутрь).

Либо где-то в ip route или ip rule добавлено что-то необычное.

#DI5YGZ/0SF / @ceyt --> #DI5YGZ/8QL / 1879 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.