Вопрос или проблема

# создание виртуального интерфейса
ip addr add "$ip" dev "$devname" label "$devname":0
# создание таблицы маршрутизации
ip rule add from "$ip" table 401
# добавление маршрута по умолчанию
ip route add default via "$dgateway" dev "$devname":0 table 401

[Interface]
Address = $(echo "$wireguard_json" | jq -r '.peer_ip')
PrivateKey = $privKey

[Peer]
PersistentKeepalive = 25
PublicKey = $(echo "$wireguard_json" | jq -r '.server_key')
AllowedIPs = 0.0.0.0/0
Endpoint = ${WG_SERVER_IP}:$(echo "$wireguard_json" | jq -r '.server_port')

Ответ или решение

Как реализовать удалённый доступ по SSH к серверу с соединением WireGuard VPN

Если вы уже успешно подключаетесь к серверу, использующему OpenVPN, используя определённые команды для настройки маршрутизации и виртуальных интерфейсов, и сталкиваетесь с трудностями при попытке SSH-подключения к серверу с клиентом WireGuard, вам стоит обратить внимание на несколько ключевых моментов. В этом ответе мы разберём основные причины, почему это может происходить, и предложим решения.

Причины, по которым SSH не работает с WireGuard

1. Настройки маршрутизации WireGuard

WireGuard может использовать более строгую маршрутизацию трафика по сравнению с OpenVPN. В вашем конфигурационном файле WireGuard указано, что параметры AllowedIPs равны 0.0.0.0/0, что подразумевает, что весь трафик направляется через VPN. Это может блокировать доступ к локальным IP-адресам, если маршрут не настроен должным образом.

2. Необходимость настройки iptables

Необходимо убедиться, что правила iptables или nftables не блокируют входящую связь на порт SSH (обычно это порт 22). WireGuard может подразумевать более строгую политику безопасности, и вам нужно будет явно разрешить этот трафик.

Решения для успешного SSH-подключения через WireGuard

1. Проверьте и измените файрвол

Убедитесь, что ваш фаерволл (iptables) позволяет SSH-трафик. Воспользуйтесь следующими командами для добавления необходимых правил:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2. Настройте маршрутизацию

Аналогично тому, как вы это сделали для OpenVPN, вам, возможно, потребуется настроить дополнительные маршруты, чтобы обеспечить доступ к локальному IP-адресу вашего сервера. Попробуйте выполнить следующие команды:

# Получите IP-адрес, который был присвоен интерфейсу WireGuard
WG_INTERFACE="wg0" # замените на ваш интерфейс
SERVER_IP="ваш_локальный_IP" # ваш локальный IP адрес

# Добавление маршрутов, чтобы доступ к локальной сети не проходил через WireGuard
ip route add "$SERVER_IP" dev "$WG_INTERFACE"

3. Используйте настройки PersistentKeepalive

WireGuard имеет параметр PersistentKeepalive, который помогает поддерживать соединение, особенно за NAT. Вы можете установить PersistentKeepalive = 25 для обеспечения устойчивости соединения при использовании NAT. Это уже указано в вашей конфигурации, но убедитесь, что данный параметр включен и корректен.

4. Тестируйте подключение

После выполнения вышеперечисленных шагов, попробуйте подключиться к серверу по SSH:

ssh your_username@$SERVER_IP

Не забудьте заменить your_username на имя пользователя, под которым хотите войти.

Заключение

Проблема подключения к серверу через WireGuard по SSH может быть связана с различиями в маршрутизации и правилами файрволла. Тщательно проверьте настройки вашего маршрутизатора, чтобы убедиться, что они поддерживают ваш используемый поток SSH. Используя описанные выше рекомендации, вы сможете успешно настроить подключение к серверу с WireGuard VPN.

Если у вас возникнут дополнительные вопросы, не стесняйтесь обратиться за помощью.