DOMANDA Wireguard su server Ubuntu

Pubblicità
volendo puoi anche selfhostarla, con headscale.
headscale.net

Headscale

An open source, self-hosted implementation of the Tailscale control server.
headscale.net headscale.net

Comunque farei un check sia sul mikrotik che sul firewall che la porta sia effettivamente aperta.
Altra cosa, proverei a cambiare porta con una non standard, quindi impostando con qualcosa del tipo 51831
 
salarix ha detto:
Il router è un Mikrotik
Clicca per espandere...

Hai fatto la regola di ACCEPT nella tabella /ip/firewall/filter e il port forwarding con DNAT sulla tabella /ip/firewall/nat verso l'ip wan del firewall zyxel ? poi dallo zyxel devi fare dnat anche su quello verso il server ubuntu
 
r3dl4nce ha detto:
Hai fatto la regola di ACCEPT nella tabella /ip/firewall/filter e il port forwarding con DNAT sulla tabella /ip/firewall/nat verso l'ip wan del firewall zyxel ? poi dallo zyxel devi fare dnat anche su quello verso il server ubuntu
Clicca per espandere...

Mikrotik:
1771329671318.webp

Zyxel:
1771329887078.webp
 

Allegati

  • 1771329758551.webp
    1771329758551.webp
    9.6 KB · Visualizzazioni: 1
Su mikrotik ti prego usa winbox.... mi esce sangue dagli occhi a vedere quella schermata

Un port forwarding generalmente nei firewall prevede due impostazioni:
- creare la regola di NAT del pacchetto
- creare la regola per accettare il pacchetto

Su Mikrotik questo si traduce nella regola di DNAT che hai messo, ti consiglio di attivare il log così ved' se arrivano pacchetti gestiti da questa regola, devi però anche accettare i pacchetti altrimenti il firewall li blocca, questo si va da /ip/firewall/filter con una regola di accept dall'interfaccia WAN verso l'interfaccia LAN sull'IP e porta NATtati
esempio

1771330840485.webp

1771330550198.webp


Nelle configurazioni del firewall, impara a usare le interface list e le ip address list

Su zyxel non li uso come firewall quindi non so darti aiuti sulla configurazione

p.s. ma se hai un mikrotik, che te ne fai di un firewall in cascata?
 
Ultima modifica:
r3dl4nce ha detto:
Su mikrotik ti prego usa winbox.... mi esce sangue dagli occhi a vedere quella schermata

Un port forwarding generalmente nei firewall prevede due impostazioni:
- creare la regola di NAT del pacchetto
- creare la regola per accettare il pacchetto

Su Mikrotik questo si traduce nella regola di DNAT che hai messo, ti consiglio di attivare il log così ved' se arrivano pacchetti gestiti da questa regola, devi però anche accettare i pacchetti altrimenti il firewall li blocca, questo si va da /ip/firewall/filter con una regola di accept dall'interfaccia WAN verso l'interfaccia LAN sull'IP e porta NATtati
esempio

Visualizza allegato 503282

Visualizza allegato 503277


Nelle configurazioni del firewall, impara a usare le interface list e le ip address list

Su zyxel non li uso come firewall quindi non so darti aiuti sulla configurazione

p.s. ma se hai un mikrotik, che te ne fai di un firewall in cascata?
Clicca per espandere...
La parte Mikrotik è ok, i pacchetti passano senza problemi (ps. la schermata è di WinBox, ma la versione beta 02)
Dopo varie testate sulla scrivania ho scoperto il problema dove sta....sul Firewall Zyxel. Ho abilitato i log sulla Policy e ho visto che i pacchetti vengono bloccati e non capisco il perchè.
1771407361429.webp
il 100.1 è l'ip del router Mktik, il 100.2 è l'ip della wan del firewall
Fatte regole, aperte porte, finestre e garage.....il problema rimane....e vai di testate sulla scrivania :(
 
salarix ha detto:
La parte Mikrotik è ok, i pacchetti passano senza problemi (ps. la schermata è di WinBox, ma la versione beta 02)
Clicca per espandere...

Eh sono ancora team winbox 3.x devo ammettere che devo trovare tempo per provare la nuova versione 4.x ormai è stabile

salarix ha detto:
Dopo varie testate sulla scrivania ho scoperto il problema dove sta....sul Firewall Zyxel. Ho abilitato i log sulla Policy e ho visto che i pacchetti vengono bloccati e non capisco il perchè.
Clicca per espandere...
Eh lì non so aiutarti, sembra che vada a matchare una regola di DROP di default, quindi non si attiva la regola che suppongo hai fatto per i pacchetti da WAN a LAN

Sei comunque sicuro di tenere due firewall in cascata?
 
r3dl4nce ha detto:
Eh sono ancora team winbox 3.x devo ammettere che devo trovare tempo per provare la nuova versione 4.x ormai è stabile


Eh lì non so aiutarti, sembra che vada a matchare una regola di DROP di default, quindi non si attiva la regola che suppongo hai fatto per i pacchetti da WAN a LAN

Sei comunque sicuro di tenere due firewall in cascata?
Clicca per espandere...
Non ti preoccupare, ci mancherebbe, mi hai dato già un grande aiuto.
 
salarix ha detto:
Non ti preoccupare, ci mancherebbe, mi hai dato già un grande aiuto.
Clicca per espandere...
Al che potresti provare a cambiare la porta come ti ho suggerito ( e rifare le regole ) per vedere se viene bloccato ancora.

PS: come mai doppio firewall? Per un motivo ben preciso o solo voglia di complicarsi la vita?
 
Moffetta88 ha detto:
Al che potresti provare a cambiare la porta come ti ho suggerito ( e rifare le regole ) per vedere se viene bloccato ancora.

PS: come mai doppio firewall? Per un motivo ben preciso o solo voglia di complicarsi la vita?
Clicca per espandere...
Doppio firewall perchè il primo (Mktik) è del provider e non posso fare nulla autonomamente, mentre il secondo è interno aziendale. Ho chiesto al provider di farmi una DMZ verso il mio firewall e mi hanno risposto picche !!!
 
salarix ha detto:
Doppio firewall perchè il primo (Mktik) è del provider e non posso fare nulla autonomamente, mentre il secondo è interno aziendale. Ho chiesto al provider di farmi una DMZ verso il mio firewall e mi hanno risposto picche !!!
Clicca per espandere...
aaaaaaaaaa adesso si spiega tutto :D
Ok, allora prova a fare la modifica che ti ho detto ( al tuo isp digli di aggiungere la regola e di non modificare l'altra così se vuoi tornare alla porta standard sei a posto ) che magari essendo una porta conosciuta fa il drop in automatico per qualche arcano modtivo ( hai controllato se il zyxell offre un servizio wireguard e quindi quella porta la reputa già assegnato e droppa il resto ? )
 
Avevo trovato l'inghippo, il problema sono io (gran coniglio, ovvero coniglione) che sul firewall ho messo la 51820 in TCP invece che UDP.
Nonostante questo, ho cambiato le porte, le ho fate cambiare al provider, ho riconfigurato tutto, ho modificato le regole UFW e magia.....tutto uguale :(
Da rete interna tutto funzionante, da esterno....banana 😭
 
salarix ha detto:
Avevo trovato l'inghippo, il problema sono io (gran coniglio, ovvero coniglione) che sul firewall ho messo la 51820 in TCP invece che UDP.
Nonostante questo, ho cambiato le porte, le ho fate cambiare al provider, ho riconfigurato tutto, ho modificato le regole UFW e magia.....tutto uguale :(
Da rete interna tutto funzionante, da esterno....banana 😭
Clicca per espandere...
Intendo che hai rifatto la prova con netcat come ti avevo specificato e non passa dati?
 
salarix ha detto:
esatto. da interno passa tutto, da esterno nulla.
Clicca per espandere...
Se i pacchetti non passano con netcat, non passeranno mai neppure con wireguard
Sicuro che certe porte UDP non siano bloccate dall'ISP? Sicuro che sul Mikrotik i pacchetti passino fino allo zyxel? Hai attivato la regola di log sia nel DNAT che sulla FILTER e vedi i pacchetti passare?
 
Pubblicità
Pubblicità
Indietro
Top