Šta je novo?
Od:
Filteri

Pristup DNS-u kroz Wireguard tunel

jddipqd

jddipqd

Čuven
Učlanjen(a)
17.10.2000
Poruke
2,555
Poena
725
Imam čudan problem sa pristupom DNS-u kroz Wireguard VPN.
Topologija je ovakva:
Peer 1 - WG Server - Peer 2 - LAN
WG je namešten da radi sa subnetom 192.168.66.0/24
LAN je u subnetu 192.168.10.0/24

WG Server je na Ubuntu 20.04 sa uključenim ufw
Unutar LAN-a iza Peer-a 2 se nalazi DNS server (192.168.10.8)
WG server može da pinguje DNS server i da uspešno radi nslookup

Kod: 
ping 192.168.10.8
PING 192.168.10.8 (192.168.10.8) 56(84) bytes of data.
64 bytes from 192.168.10.8: icmp_seq=1 ttl=63 time=45.9 ms

Kod: 
nslookup www.google.com 192.168.10.8
Server:         192.168.10.8
Address:        192.168.10.8#53

Non-authoritative answer:
Name:   www.google.com
Address: 216.58.212.36
Name:   www.google.com
Address: 2a00:1450:4017:805::2004

Peer 1 može da pinguje DNS sever, ali ne može da uradi nslookup

Kod: 
ping 192.168.10.8
PING 192.168.10.8 (192.168.10.8) 56(84) bytes of data.
64 bytes from 192.168.10.8: icmp_seq=1 ttl=62 time=217 ms

Kod: 
nslookup www.google.com 192.168.10.8
;; connection timed out; no servers could be reached

Ufw setup je:

Kod: 
sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
51820/udp                  ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
51820/udp (v6)             ALLOW       Anywhere (v6)

53                         ALLOW OUT   Anywhere
53 (v6)                    ALLOW OUT   Anywhere (v6)

Anywhere on eth0           ALLOW FWD   Anywhere on wg0
Anywhere on wg0            ALLOW FWD   Anywhere on eth0
Anywhere (v6) on eth0      ALLOW FWD   Anywhere (v6) on wg0
Anywhere (v6) on wg0       ALLOW FWD   Anywhere (v6) on eth0

Ima li neko ideju šta je ovde pogrešno?
Pretpostavljam da je ufw problem (tj neki njegov default) pošto sam ranije imao sličan setup gde je WG server bio na CentOS-u i nije bilo ovakvih problema.
 
Da li DNS server dozvoljava external lookups? Koji server je u pitanju? Jer ako je iz perspektive DNS servera VPN server u LAN-u može da se desi da mu bude dozvoljen lookup a da ne bude dozvoljen klijentima zakačenim na VPN.
 
Pa ovako na prvi pogled mislim da ti fali rule za allow za port 53 TCP/UDP
 
MilanKragujevic je napisao(la):
Da li DNS server dozvoljava external lookups? Koji server je u pitanju? Jer ako je iz perspektive DNS servera VPN server u LAN-u može da se desi da mu bude dozvoljen lookup a da ne bude dozvoljen klijentima zakačenim na VPN.
Kliknite za proširenje...
Dozvoljava.
WG server nije u istom subnetu kao DNS a bez problema može lookup na njega.
NBAH je napisao(la):
Pa ovako na prvi pogled mislim da ti fali rule za allow za port 53 TCP/UDP
Kliknite za proširenje...
Dodao sam, ali nije pomoglo
Kod: 
53                         ALLOW       Anywhere
53 (v6)                    ALLOW       Anywhere (v6)
53                         ALLOW OUT   Anywhere
53 (v6)                    ALLOW OUT   Anywhere (v6)
 
Poslednja izmena:
Našao sam šta je bio problem... Ne treba DNS port uopšte, treba da se dozvoli ruta sa wg0 na wg0
Kod: 
sudo ufw route allow in on wg0 out on wg0

Mislio sam da je ovo po defaultu dozvoljeno :unsure:
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno