出价50软妹币解决一个debian11 ufw的问题

gzelvis · 发表于 2022-7-2 14:15:13

前言：曾经在一台centos7服务器上实现这个操作，就是服务器装了wireguard（公司用），自己再加了个zerotier(家用），然后两个服务都装在该服务器上，经过我wg对端正确设置用wireguard也可以访问我家里的电脑，家里电脑用zerotier也能正常访问各家庭子网及公司内网。但现在问题来了，换了台Debian11来做同样的事，wireguard的wg0直接复制的旧服务器上的配置，zerotier这个应该也没任何问题（zerotier官网路由配置）

----------------------------------------------- 具体服务器环境 ------------------------

[debian11 ，ufw 防火墙] 服务器端：192.168.188.99 （内网 IP ） 10.0.100.1 （ wireguard IP ） 192.168.192.248 （ Zerotier IP ）
WG 网段 10.0.100.0/24
Zerotier 网段：192.168.192.0/24

公司内网网段：192.168.10.0/24 ; 192.168.80.0/24
私人家庭网段：10.0.123.0/24 ； 10.0.122.0/24 ； 10.0.121.0/24 （已在 Zerotier 官方做了映射）

现在情况是，我服务器端安装了 wireguard 和 zerotier ，wireguard 工作用，公司里靠这个接入服务器。zerotier 私人用家庭里的电脑靠这个接入服务器。在这台 192.168.188.99 服务器上，我可以 ping 通公司和私人的所有网段内机器。

但远程的话，用 zerotier 接入，可正常访问公司各网段和私人家庭各网段（需求满足），但如果用 wireguard 接入，就只能访问服务器本机和公司各网段，而靠 zerotier 接入到服务器的 10.0.xx.0/24 的各私人子网段的机器全都无法访问（简单点说就是 wireguard 接入后无法访问访问家里靠zerotier接入的电脑）。但因为工作原因，平时上班时间只能登陆一个wireguard（这会连接不到家里电脑很难受）

ifconfig: ens192（物理网卡）；wg0（wireguard虚拟网卡）；ztyxa66ssl（zerotier虚拟网卡）

服务器路由表：
root@WG:/etc/ufw# ip route
default via 192.168.188.254 dev ens192 metric 100 onlink
10.0.100.0/24 dev wg0 proto kernel scope link src 10.0.100.1
10.0.120.0/24 via 192.168.192.188 dev ztyxa66ssl proto static metric 5000
10.0.121.0/24 via 192.168.192.172 dev ztyxa66ssl proto static metric 5000
10.0.122.0/24 via 192.168.192.232 dev ztyxa66ssl proto static metric 5000
10.0.123.0/24 via 192.168.192.119 dev ztyxa66ssl proto static metric 5000
192.168.188.0/24 dev ens192 proto kernel scope link src 192.168.188.99
192.168.192.0/24 dev ztyxa66ssl proto kernel scope link src 192.168.192.248

ufw before.rules 多加了这里一点
*nat

REROUTING ACCEPT [0:0]

OSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.188.0/24 -o ens192 -j MASQUERADE

求debian和了解ufw的大神帮忙，回复或者留下你的微信，解决了直接小红包不废话

sRGB · 发表于 2022-7-2 23:02:05

手机wg客户端，路由网段设置 10.0.0.0/24, ::/0

234 · 发表于 2022-7-2 22:31:31

先关注再仔细看

kyc · 发表于 2022-7-2 15:45:28

提示: 作者被禁止或删除内容自动屏蔽

zxxx · 发表于 2022-7-2 15:37:06

好复杂啊

gzelvis · 发表于 2022-7-2 16:07:57

kyc 发表于 2022-7-2 15:45
这50赚的容易。

容易吗？这会还没人来回复没人出来赚啊，要不兄弟你给我方案试试？

园丁 · 发表于 2022-7-2 22:20:50

traceroute 一下看看wg后是不是zerotier的网段走了wg的网段. wg的网段没搞好问题就多.

sRGB · 发表于 2022-7-2 22:59:00

wg，客户端配置，可以指定10.0.0.0/24 网段走wg虚拟网，其他网段走公网

gzelvis · 发表于 2022-7-3 03:31:17

sRGB 发表于 2022-7-2 23:02
手机wg客户端，路由网段设置 10.0.0.0/24, ::/0

早就测试过了，就算设置 0.0.0.0/0 所有流量走wg，都没法访问zerotier接入的网段，但在服务上装个snell，啥都不用整启动就能访问

目白琳庭 · 发表于 2022-7-3 06:49:16

家用电脑是Mac？macOS 有自己一套的路由表来着。
设置下wireguard的allow ip不行？
ip -4 rule show all 也看看。

		自动登录	找回密码
密码			注册

kyc kyc 当前离线积分 3925	发表于 2022-7-2 15:45:28 来自手机 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
kyc kyc 当前离线积分 3925
	回复支持 0 反对 1 举报

[疑问] 出价50软妹币解决一个debian11 ufw的问题