Вопрос или проблема
В настоящее время я сталкиваюсь с проблемой, которую не могу решить сам. Изначальная идея заключалась в том, чтобы настроить WireGuard на моем сервере с Plesk. Я немного поискал в интернете и нашел этот очень хороший учебник. Он действительно помог мне настроить все на моем сервере и сконфигурировать новых клиентов. Единственное, что я немного изменил в конфигурации, это скрипты PostUp и PostDown, чтобы они соответствовали моему сетевому интерфейсу:
PostUp: iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
PostDown: iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE
Я все проверил, включил все службы, перезагрузил сервер (просто чтобы быть уверенным) и настроил свой iPhone, используя предоставленный QR-код.
Я был очень рад видеть, что рукопожатие прошло успешно, и я могу видеть свои внутренние страницы, скрытые в Plesk, используя:
<Location />
Require ip 10.252.1.0/24
</Location>
Но затем я выяснил, что у меня нет доступа в интернет.
Я потратил много времени, возвращаясь к настройкам, проверяя пересылку IP и все остальное, но не смог найти проблему. Поэтому я снова открыл Plesk и проверил брандмауэр, отключил его на минуту. К моему удивлению, я смог получить доступ в интернет на своем iPhone. Тогда я добавил несколько правил в брандмауэр:
- Разрешить входящий трафик на порт 51820/udp (это было сделано во время установки)
- Разрешить входящий трафик с 10.252.1.0/24 на все порты
- Разрешить исходящий трафик с 10.252.1.0/24 на все порты
Я сохранил правила и снова включил брандмауэр, но обнаружил, что доступ в интернет снова пропал. Я проверил таблицы IP и все остальное, но застрял.
Я буду признателен за любые советы, которые помогут мне вернуть доступ в интернет для моих VPN-клиентов!
Ответ или решение
Ваша проблема с отсутствием доступа к Интернету для клиентов WireGuard, вероятно, связана с конфигурацией брандмауэра Plesk и правилами iptables. Давайте шаг за шагом рассмотрим, что можно сделать, чтобы устранить эту проблему.
-
Проверка IP-адресов и маршрутов:
Убедитесь, что у вас правильно настроены IP-адреса для интерфейсаwg0и чтоenp2s0имеет доступ к Интернету. Также проверьте, включен ли IP-переадресация на сервере:sysctl net.ipv4.ip_forwardУбедитесь, что вывод равен
1. Если нет, включите его:echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf sysctl -p -
Проверка правил iptables:
Правила, которые вы указали в PostUp и PostDown, выглядят корректно. Однако стоит добавить правило, позволяющее NAT для исходящего трафика, чтобы клиенты VPN могли выходить в Интернет:iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE -
Настройка правил брандмауэра Plesk:
Убедитесь, что вы добавили правильные правила в брандмауэр Plesk:- Разрешите входящий трафик на порт 51820/udp (это уже сделано).
- Разрешите входящий трафик из подсети 10.252.1.0/24 для всех портов.
- Разрешите исходящий трафик для подсети 10.252.1.0/24.
- Также важно: добавьте правило, разрешающее исходящий трафик из интерфейса
enp2s0(или вашего конкретного интерфейса, выходящего в Интернет) для всех подсетей.
-
Дополнительные проверки:
- Убедитесь, что на вашем сервере нет других правил iptables, которые могут блокировать трафик. Вы можете вывести все правила с помощью команды:
iptables -L -v -n iptables -t nat -L -v -n - Проверьте, правильно ли настроен маршрутизатор вашего интернет-провайдера, если он имеет какие-либо специфические настройки NAT или брандмауэра.
- Убедитесь, что на вашем сервере нет других правил iptables, которые могут блокировать трафик. Вы можете вывести все правила с помощью команды:
-
Тестирование:
После внесения всех изменений и перезапуска брандмауэра, попробуйте снова подключиться к WireGuard клиенту и проверьте доступность Интернета. Для дальнейшей диагностики используйте:ping 8.8.8.8
Если после всех шагов доступ к Интернету все еще отсутствует, возможно, стоит рассмотреть дополнительные опции и ограничения, которые могут быть установлены на сервере или в сетевой инфраструктуре. Возможно, потребуется также обратиться к документации Plesk или сообществу поддержки для получения более специфичной информации о конфигурации.