Verwendung von WireGuard mit Web-Schutz
Problem
Angenommen, Web-Schutz (WAP) wird über die Befehlszeile oder als Dienst mithilfe von wg-quick mit WireGuard kombiniert. In diesem Fall kann die Internetverbindung unterbrochen werden, wenn sowohl WAP- als auch WireGuard-Schnittstellen aktiviert sind. Dies wird durch eine Regel verursacht, die von wg-quick zu nftables hinzugefügt wird, wenn eine Schnittstelle aufgerufen wird. Angenommen, die Schnittstelle ist wg0 mit der IP-Adresse 10.10.10.2. Die Regel wird der Tabelle wg-quick-wg0, chain preraw hinzugefügt und sieht wie folgt aus:
iifname != "wg0" ip daddr 10.10.10.2 fib saddr type != local drop |
Diese Regel soll einen gewissen Schutz vor Konfigurationsproblemen und bösartigen Paketen bieten.
Behelfslösung
Auf einem ordnungsgemäß konfigurierten und gesicherten System sollte die nftables-Regel nicht erforderlich sein. Wenn Sie wg-quick so konfigurieren, dass diese Regel nicht beibehalten wird, sollten die Verbindungsprobleme behoben werden. Sie können z. B. die Konfigurationsdatei für die betroffene Schnittstelle bearbeiten und im Abschnitt [Schnittstelle] die folgende PostUp-Aktion hinzufügen:
PostUp = nft flush chain wg-quick-wg0 preraw |
Beachten Sie, dass der Name wg-quick-wg0 nur für die “wg0”-Schnittstelle gilt und für andere Schnittstellen entsprechend geändert werden muss. Wenn Sie dennoch ein gewisses Maß an Sicherheit möchten, können Sie die Regel durch eine schwächere ersetzen, z. B. wie folgt:
PostUp = nft flush chain wg-quick-wg0 preraw; nft 'add rule wg-quick-wg0 preraw iifname != "wg0" iif != "lo" ip daddr 10.10.10.2 fib saddr type != local drop' |
Denken Sie daran, dass alle Instanzen von „wg0“ aktualisiert werden müssen, wenn die Schnittstelle nicht „wg0“ ist. Außerdem ist es notwendig, die IP-Adresse zu aktualisieren, wenn sie nicht 10.10.10.2 lautet.