Intento usar Wireguard en un firewall con VRRP (basado en Keepalived). El firewall bloquea todas las comunicaciones excepto la dirección VRRP en el puerto 51820 y las conexiones válidas establecidas.
Wireguard funciona bien si no uso VRRP.
Cuando intento usar VRRP, el paquete del cliente va a la dirección VRRP según lo atendido. Pero Wireguard intenta responder desde la dirección IP física (y no la VRRP), que el firewall bloquea la SALIDA a medida que cambia la IP.
¿Sabe cómo se debe configurar Wireguard para responder mediante la dirección VRRP y no la física?
No permitiría responder mediante la dirección IP física, ya que el firewall del cliente puede bloquear la conexión si también realiza un seguimiento de la conexión.
Intento ver si un SNAT puede ayudar, para reescribir la IP física a VRRP, pero no está permitido ponerlo en reglas nat de SALIDA o PREROUTING.
Algunos registros: en el cliente (IP 10.3.3.2):
11:41:09.011209 IP 10.3.3.2.47755 > 10.3.3.254.51820: UDP, length 148
11:41:14.131337 IP 10.3.3.2.47755 > 10.3.3.254.51820: UDP, length 148
en el firewall (10.3.3.252 físico, 10.3.3.254 VRRP):
Jan 12 11:41:09 FW-DEV1 kernel: [ 3950.406083] OUTPUT: IN= OUT=enp0s9 SRC=10.3.3.252 DST=10.3.3.2 LEN=120 TOS=0x08 PREC=0x80 TTL=64 ID=7125 PROTO=UDP SPT=51820 DPT=47755 LEN=100
Jan 12 11:41:14 FW-DEV1 kernel: [ 3955.526617] OUTPUT: IN= OUT=enp0s9 SRC=10.3.3.252 DST=10.3.3.2 LEN=120 TOS=0x08 PREC=0x80 TTL=64 ID=7878 PROTO=UDP SPT=51820 DPT=47755 LEN=100
Editar: agregar NAT
Puse una NAT en la interfaz VRRP y casi resuelve el problema.
iptables -t nat -A PREROUTING -d WGIP/32 -p udp -m udp --dport 51820 -j DNAT --to-destination PHYSICALIP
Pero necesito abrir la regla de filtro con la dirección IP física. Significa que el VRRP y el PHYSICALIP están abiertos desde el exterior. No puedo poner una regla DROP antes de la regla nat para prohibir la conexión excepto a VRRPIP
Información agregada
regla de propiedad intelectual:
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
No hay nft disponibles