Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Рукопожатие Wireguard не происходит.

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Сервер wireguard:
  3. Клиент wireguard:
  4. Ответ или решение
  5. Теория
  6. Пример
  7. Сторона сервера
  8. Сторона клиента
  9. Применение

Вопрос или проблема

Я пытаюсь установить VPN соединение wireguard между двумя разными сетями. Настроил публичные и приватные ключи на обоих серверах, но рукопожатие не установлено должным образом.

Сервер wireguard:

wg
interface: wg0
  public key: XWYY9Dm++2nvZQ2KedyOzT/21grjkbFRgPAN2v0QiQQ=
  private key: (hidden)
  listening port: 51921

peer: p2rT72QLwd5vXQ3c8UHguQhJX3Tb0A42H22nXpB9CGA=
  endpoint: 10.2.143.53:51921
  allowed ips: 10.150.0.6/32
  transfer: 0 B received, 34.40 KiB sent

Клиент wireguard:

wg
interface: wg0
  public key: p2rT72QLwd5vXQ3c8UHguQhJX3Tb0A42H22nXpB9CGA=
  private key: (hidden)
  listening port: 51921

peer: XWYY9Dm++2nvZQ2KedyOzT/21grjkbFRgPAN2v0QiQQ=
  endpoint: *****:51921
  allowed ips: 10.150.0.1/32, 10.150.0.0/32
  transfer: 0 B received, 196.27 KiB sent
  persistent keepalive: every 30 seconds
root@ip-10-2-143-53:/etc/wireguard#

Я новичок в VPN и wireguard, как отладить эту проблему? Что-то еще я упускаю?

Ответ или решение

Настройка VPN на основе WireGuard может быть сложной задачей, особенно для тех, кто только начинает осваивать эту технологию. Чтобы разрешить проблему отсутствия рукопожатия между серверами WireGuard, важно детально разобраться в каждом аспекте конфигурации и устранить потенциальные ошибки. Давайте разберемся в этом шаг за шагом.

Теория

WireGuard — это современный VPN протокол, который используется для обеспечения безопасности и конфиденциальности обмена данными между разными сетями через интернет. Основные элементы WireGuard включают в себя ключи безопасности (публичные и частные), сетевой интерфейс и настройку "peer" — устройства, с которым нужно установить защищенное соединение.

Каждое устройство WireGuard имеет уникальный набор публичного и частного ключей. Для успешного установления соединения важно убедиться, что публичный ключ одного устройства правильно указан как ключ "peer" на другом устройстве. Кроме того, необходимо убедиться в точности настройки IP-адресов и портов.

Пример

Давайте рассмотрим вашу конкретную конфигурацию:

Сторона сервера

  • Публичный ключ: XWYY9Dm++2nvZQ2KedyOzT/21grjkbFRgPAN2v0QiQQ=
  • Порт прослушивания: 51921
  • Параметры соединения с клиентом ("peer"):
    • Публичный ключ клиента: p2rT72QLwd5vXQ3c8UHguQhJX3Tb0A42H22nXpB9CGA=
    • IP-адрес и порт конечной точки: 10.2.143.53:51921
    • Разрешенные IP: 10.150.0.6/32

Сторона клиента

  • Публичный ключ: p2rT72QLwd5vXQ3c8UHguQhJX3Tb0A42H22nXpB9CGA=
  • Порт прослушивания: 51921
  • Параметры соединения с сервером ("peer"):
    • Публичный ключ сервера: XWYY9Dm++2nvZQ2KedyOzT/21grjkbFRgPAN2v0QiQQ=
    • Порт конечной точки: 51921
    • Разрешенные IP: 10.150.0.1/32, 10.150.0.0/32
    • Параметр persistent keepalive установлен на 30 секунд

Применение

Ниже приведены шаги для устранения возможных проблем с установлением соединения:

  1. Проверка ключей: Убедитесь, что на каждой стороне публичные ключи совпадают наоборот. То есть публичный ключ клиента должен быть правильно указан на сервере и наоборот.

  2. Настройка IP и портов:

    • Убедитесь, что IP-адрес конечной точки сервера указан правильно на стороне клиента. В вашем случае, возможно, использован звездочка *****, что неправильно. Убедитесь, что вместо звездочек указан правильный IP-адрес.
    • Проверьте, что в брандмауэре открыты порты 51921 для TCP и UDP-трафика на обоих устройствах.

  3. Разрешенные IP:

    • Проверьте, что диапазоны IP адресов правильно установлены для обоих участников. Убедитесь, что только те IP-адреса, которые действительно используются, указаны в разрешенных.

  4. Показатели передачи:

    • Обратите внимание на параметры передачи. Если вы видите передачу данных только в одну сторону, это может свидетельствовать о неправильно настроенном маршруте или блокировке трафика на одной из сторон.

  5. Настройки Persistent Keepalive:

    • Флажок Persistent Keepalive особенно полезен для клиента, находящегося за NAT или брандмауэром. Оставление его включенным гарантирует, что периодическая передача данных поддерживает активное соединение. 30 секунд — это разумное значение для этого параметра, если обе стороны находятся за NAT.

  6. Проверка брандмауэра и NAT:

    • Убедитесь, что на обоих устройствах правильно настроен NAT, чтобы передавать трафик WireGuard. Это особенно важно, если вы за роутером или другим сетевым оборудованием, которое может блокировать порты.

  7. Журналы и отладка:

    • Запустите WireGuard с обширным логированием командой sudo wg show для проверки статуса соединения. Используйте системные журналы, такие как journalctl -x или dmesg, для поиска специфических ошибок или предупреждений.

Несмотря на то что установки VPN могут потребовать дополнительных усилий, подробнее рассмотрение вышеописанных шагов и проверка всех настроек должны помочь выявить и исправить проблемы, препятствующие успешному рукопожатию ваших серверов WireGuard.

wireguard
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности