我嘗試在具有 VRRP(基於 Keepalived)的防火牆上使用 Wireguard。防火牆會阻止除連接埠 51820 上的 VRRP 位址和已建立的有效連線之外的所有通訊。
如果我不使用 VRRP,Wireguard 效果很好。
當我嘗試使用 VRRP 時,來自客戶端的資料包會轉到所出席的 VRRP 位址。但 Wireguard 嘗試從實體 IP 位址(而不是 VRRP 位址)進行回复,該位址在 IP 變更時會被防火牆在 OUTPUT 上封鎖。
您知道應該如何將 Wireguard 配置為透過 VRRP 位址而不是實體位址回應嗎?
我不允許透過實體 IP 位址進行回答,因為如果客戶端防火牆也進行連線跟踪,則可能會阻止連線。
我嘗試看看 SNAT 是否可以幫助將實體 IP 重寫為 VRRP IP,但不允許將其放入 OUTPUT 或 PREROUTING nat 規則中。
一些日誌:在客戶端(IP 10.3.3.2)上:
11:41:09.011209 IP 10.3.3.2.47755 > 10.3.3.254.51820: UDP, length 148
11:41:14.131337 IP 10.3.3.2.47755 > 10.3.3.254.51820: UDP, length 148
在防火牆上(10.3.3.252 物理,10.3.3.254 VRRP):
Jan 12 11:41:09 FW-DEV1 kernel: [ 3950.406083] OUTPUT: IN= OUT=enp0s9 SRC=10.3.3.252 DST=10.3.3.2 LEN=120 TOS=0x08 PREC=0x80 TTL=64 ID=7125 PROTO=UDP SPT=51820 DPT=47755 LEN=100
Jan 12 11:41:14 FW-DEV1 kernel: [ 3955.526617] OUTPUT: IN= OUT=enp0s9 SRC=10.3.3.252 DST=10.3.3.2 LEN=120 TOS=0x08 PREC=0x80 TTL=64 ID=7878 PROTO=UDP SPT=51820 DPT=47755 LEN=100
編輯:新增 NAT
我在VRRP介面上加了NAT,幾乎解決了問題。
iptables -t nat -A PREROUTING -d WGIP/32 -p udp -m udp --dport 51820 -j DNAT --to-destination PHYSICALIP
但我需要使用實體IP位址開啟過濾規則。這意味著VRRP 和PHYSICALIP 對外開放。我無法在 nat 規則之前放置 DROP 規則來禁止 VRRPIP 以外的連接
添加訊息
ip規則:
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
沒有可用的 nft