Інтерактивна довідка ESET

Виберіть тему

Використання WireGuard із захистом доступу до Інтернету

Проблема

Припустимо, захист доступу до Інтернету (Web Access Protection, WAP) використовується разом із WireGuard (із використанням утиліти wg-quick у командному рядку або як служба). У цьому випадку підключення до Інтернету може бути втрачено, якщо ввімкнуто обидва інтерфейси (WAP і WireGuard). Це спричинено правилом, яке додається в nftables утилітою wg-quick, коли відкривається інтерфейс. Припустимо, що є інтерфейс wg0 із IP-адресою 10.10.10.2. Правило додається в таблицю wg-quick-wg0, у блок chain preraw; воно має такий вигляд:

iifname != "wg0" ip daddr 10.10.10.2 fib saddr type != local drop

Це правило забезпечує певний рівень захисту від виникнення проблем конфігурації, а також від шкідливих пакетів.

Вирішення проблеми

У системі, яку налаштовано й захищено належним чином, правило nftables не є необхідним. Щоб вирішити проблеми з підключенням, налаштуйте wg-quick таким чином, щоб це правило залишалося на місці. Наприклад, можна відредагувати файл конфігурації відповідного інтерфейсу. У розділі [Interface] додайте таку дію PostUp:

PostUp = nft flush chain wg-quick-wg0 preraw

Зауважте, що ім’я wg-quick-wg0 застосовується лише до інтерфейсу “wg0” і має бути відповідним чином змінено для інших інтерфейсів. Якщо вам потрібно отримати певний рівень захисту, ви можете замінити правило на більш слабке, наприклад, таке:

PostUp = nft flush chain wg-quick-wg0 preraw; nft 'add rule wg-quick-wg0 preraw iifname != "wg0" iif != "lo" ip daddr 10.10.10.2 fib saddr type != local drop'

Пам’ятайте, що всі посилання на "wg0" необхідно оновлювати після зміни імені інтерфейсу. Окрім того, необхідно оновити IP-адресу, якщо адреса 10.10.10.2 вже не використовується.