Uso de WireGuard con protección de acceso a la web
Problema
Supongamos que la protección de acceso a la web (WAP) se combina con WireGuard mediante wg-quick desde la línea de comandos o como servicio. En ese caso, es posible que se pierda la conectividad a Internet cuando se habilitan las interfaces WAP y WireGuard. Esto se debe a una regla que se agrega a nftables mediante wg-quick, cuando se abre una interfaz. Supongamos que la interfaz es wg0, con una dirección IP 10.10.10.2. La regla se agrega a la tabla wg-quick-wg0, encadena preraw y se ve así:
iifname != "wg0" ip daddr 10.10.10.2 fib saddr type != local drop |
El propósito de esta regla es proporcionar cierta protección contra problemas de configuración y paquetes maliciosos.
Solución
En un sistema correctamente configurado y protegido, la regla nftables no debería ser necesaria. Si se configura wg-quick para no dejar esa regla, deberían solucionarse los problemas de conexión. Por ejemplo, puede editar el archivo de configuración de la interfaz afectada y, en la sección [Interfaz], agregar la siguiente acción PostUp:
PostUp = nft flush chain wg-quick-wg0 preraw |
Tenga en cuenta que el nombre wg-quick-wg0 se aplica solo a la interfaz “wg0” y debe cambiarse en consecuencia para otras interfaces. Si aún desea obtener algún nivel de protección, puede reemplazar la regla por una más débil, como la siguiente:
PostUp = nft flush chain wg-quick-wg0 preraw; nft 'add rule wg-quick-wg0 preraw iifname != "wg0" iif != "lo" ip daddr 10.10.10.2 fib saddr type != local drop' |
Recuerde que todas las menciones de “wg0” deben actualizarse si la interfaz no es “wg0”. Además, es necesario actualizar la dirección IP si no es 10.10.10.2.