DOMANDA Wireguard su server Ubuntu

[salarix]

Ho un server Ubuntu con installato correttamente Wireguard. Le chiavi private e pubbliche del server e del client sono create e correttamente inserite dei relativi file .conf. Il firewall ha le porte aperte ed il nat è corretto. Attivando la connesione dal cliente, il risultato è inesorabilmente questo:
2026-02-16 15:34:59.430: [TUN] [VPN_Test] Handshake for peer 1 (192.168.1.3:51820) did not complete after 5 seconds, retrying (try 2)
Ho veramente provato di tutto, e adesso mi sono arreso. Da considerare, in ogni caso, che su Linux non sono proprio ferrato.
Ci sarebbe qualche anima pia che mi darebbe una mano a capire dove sta l'inghippo ?
Grazie anticipatamente.

 

[Moffetta88]

Domandina: il client è sulla stessa rete del server?

 

[salarix]

si, sono entrambi nella stessa rete

 

[Moffetta88]

come hai installato wireguard sul server?
Hai usato qualche script per facilitare il processo?
Se sì, quale?
Che versione di ubuntu stai usando?
ip del client e del server?

 

[salarix]

Allora, per l'installazione ho utilizzato
modprobe wireguard
sudo sh -c 'echo deb https://deb.debian.org/debian/ unstable main > /etc/apt/sources.list.d/unstable.list'
sudo sh -c 'printf "Package: *\nPin: release a=unstable\nPin-Priority: 90\n" >; /etc/apt/preferences.d/limit-unstable'S
sudo apt update
sudo apt install wireguard

La versione di Ubuntu è la 24.04.4 LTS
L'ip del server è 192.168.1.3, quello del client 192.168.1.79 (ma utilizzando un client dall'esterno su ip pubblico il risultato è identico)

 

[Moffetta88]

ehm, scusa dove cavolo hai preso sta roba?

 

[salarix]

Da una guida su tecnobits.com...l'ho utilizzata dopo l'ennesimo fallimento con la procedura "liscia" (update, upgrade e install)

 

[r3dl4nce]

ma perché mai?
Debian / Ubuntu hanno supporto a wireguard nei package delle varie stable tranquillamente

Detto ciò, posat i file wgX.conf sia del client che del server - usi wq-quick suppongo, vero?
Ricorda che wireguard lavora in UDP quindi devi fare NAT della porta in UDP

poi se client e server sono nella stessa rete, che senso ha? Tra l'altro nel file wgX.conf nel peer del client devi mettere l' ip del server quindi metti l'IP locale per provare, giusto? Mica metti l'ip pubblico se sono entrambi nella stessa subnet

 

[Moffetta88]

Allora, diciamo che in quello script c'è confusione a mio avviso.
Praticamente tu hai aggiunto i repo di debian unstable ad ubuntu e gli hai detto di dargli priorità 90.
Poi gli dici di installare wireguard e secondo te da dove lo pesca? Lo prende al 1000% da quelli di ubuntu ( visto che c'è nei suoi repo ).

Esattamente come dice @r3dl4nce devi anche controllare che le porte siano aperte effettivamente.
Intanto 10 punti a te per non avermi risposto con "ho usato chatgpt" :D

 

[r3dl4nce]

Vorrei anche vedere i file wgX.conf

 

[salarix]

Server:
[Interface]
Adddress = 10.10.10.1/24
ListenPort = 51820
PrivateKey = CHIAVE PRIVATA DEL SERVER

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE

[Peer]
PublicKey = CHIAVE PUBBLICA DEL CLIENT
AllowedIPs = 10.0.0.2/32



Client1
[Interface]
PrivateKey = CHIAVE PRIVATA DEL CLIENT
ListenPort = 51820
Address = 10.100.0.2/24
DNS = 1.1.1.1, 8.8.8.8

[Peer]
PublicKey = CHIAVE PUBBLICA DEL SERVER
AllowedIPs = 0.0.0.0/0
Endpoint =ip pubblico:51820 (da esterno)
Endpoint = 192.168.1.3:51820 (da interno)
PersistentKeepalive = 25

Nat fatto e porta 51820/udp aperta

 

[Moffetta88]

Adddress
Mi pare che abbia una d di troppo :)
Lo hai scritto tu per sbaglio nel forum o è così nel file?

 

[salarix]

Scusa, hai ragione. Quello corretto è questo:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp2s0 -j MASQUERADE

Quello di prima me lo ha scritto ChatGpt per dispetto :)

 

[r3dl4nce]

Sulla ubuntu che fa da server wireguard hai iptables? A parte che ormai iptables dovrebbe andare in dismissione sostituito da nftables
Se hai un firewall attivo su ubuntu, devi aprire la porte anche lì

Se poi non sei molto pratico di Linux e non vuoi stare a sbatterti, puoi usare tailscale / zerotier / netbird direttamente

 

[Moffetta88]

Quello di prima me lo ha scritto ChatGpt per dispetto :)

ci sono tantissimi errori in quel file! Da quello che mi ricordo gli endpoint non possono essere multi.
Poi vedo reti completamente differenti...
Client su 10.100.xx.yy e server su 10.10.xx.yy ?