全球主机交流论坛

标题: 出价50软妹币解决一个debian11 ufw的问题 [打印本页]

作者: gzelvis 时间: 2022-7-2 14:15
标题: 出价50软妹币解决一个debian11 ufw的问题
前言：曾经在一台centos7服务器上实现这个操作，就是服务器装了wireguard（公司用），自己再加了个zerotier(家用），然后两个服务都装在该服务器上，经过我wg对端正确设置用wireguard也可以访问我家里的电脑，家里电脑用zerotier也能正常访问各家庭子网及公司内网。但现在问题来了，换了台Debian11来做同样的事，wireguard的wg0直接复制的旧服务器上的配置，zerotier这个应该也没任何问题（zerotier官网路由配置）

----------------------------------------------- 具体服务器环境 ------------------------

[debian11 ，ufw 防火墙] 服务器端：192.168.188.99 （内网 IP ） 10.0.100.1 （ wireguard IP ） 192.168.192.248 （ Zerotier IP ）
WG 网段 10.0.100.0/24
Zerotier 网段：192.168.192.0/24

公司内网网段：192.168.10.0/24 ; 192.168.80.0/24
私人家庭网段：10.0.123.0/24 ； 10.0.122.0/24 ； 10.0.121.0/24 （已在 Zerotier 官方做了映射）

现在情况是，我服务器端安装了 wireguard 和 zerotier ，wireguard 工作用，公司里靠这个接入服务器。zerotier 私人用家庭里的电脑靠这个接入服务器。在这台 192.168.188.99 服务器上，我可以 ping 通公司和私人的所有网段内机器。

但远程的话，用 zerotier 接入，可正常访问公司各网段和私人家庭各网段（需求满足），但如果用 wireguard 接入，就只能访问服务器本机和公司各网段，而靠 zerotier 接入到服务器的 10.0.xx.0/24 的各私人子网段的机器全都无法访问（简单点说就是 wireguard 接入后无法访问访问家里靠zerotier接入的电脑）。但因为工作原因，平时上班时间只能登陆一个wireguard（这会连接不到家里电脑很难受）

ifconfig: ens192（物理网卡）；wg0（wireguard虚拟网卡）；ztyxa66ssl（zerotier虚拟网卡）

服务器路由表：
root@WG:/etc/ufw# ip route
default via 192.168.188.254 dev ens192 metric 100 onlink
10.0.100.0/24 dev wg0 proto kernel scope link src 10.0.100.1
10.0.120.0/24 via 192.168.192.188 dev ztyxa66ssl proto static metric 5000
10.0.121.0/24 via 192.168.192.172 dev ztyxa66ssl proto static metric 5000
10.0.122.0/24 via 192.168.192.232 dev ztyxa66ssl proto static metric 5000
10.0.123.0/24 via 192.168.192.119 dev ztyxa66ssl proto static metric 5000
192.168.188.0/24 dev ens192 proto kernel scope link src 192.168.188.99
192.168.192.0/24 dev ztyxa66ssl proto kernel scope link src 192.168.192.248

ufw before.rules 多加了这里一点
*nat

REROUTING ACCEPT [0:0]

OSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.188.0/24 -o ens192 -j MASQUERADE

求debian和了解ufw的大神帮忙，回复或者留下你的微信，解决了直接小红包不废话

作者: zxxx 时间: 2022-7-2 15:37
好复杂啊

作者: kyc 时间: 2022-7-2 15:45
提示: 作者被禁止或删除内容自动屏蔽

作者: gzelvis 时间: 2022-7-2 16:07

kyc 发表于 2022-7-2 15:45
这50赚的容易。

容易吗？这会还没人来回复没人出来赚啊，要不兄弟你给我方案试试？

作者: 园丁 时间: 2022-7-2 22:20
traceroute 一下看看wg后是不是zerotier的网段走了wg的网段. wg的网段没搞好问题就多.

作者: 234 时间: 2022-7-2 22:31
先关注再仔细看

作者: sRGB 时间: 2022-7-2 22:59
wg，客户端配置，可以指定10.0.0.0/24 网段走wg虚拟网，其他网段走公网

作者: sRGB 时间: 2022-7-2 23:02
手机wg客户端，路由网段设置 10.0.0.0/24, ::/0

作者: gzelvis 时间: 2022-7-3 03:31

sRGB 发表于 2022-7-2 23:02
手机wg客户端，路由网段设置 10.0.0.0/24, ::/0

早就测试过了，就算设置 0.0.0.0/0 所有流量走wg，都没法访问zerotier接入的网段，但在服务上装个snell，啥都不用整启动就能访问

作者: 目白琳庭 时间: 2022-7-3 06:49
家用电脑是Mac？macOS 有自己一套的路由表来着。
设置下wireguard的allow ip不行？
ip -4 rule show all 也看看。

作者: ggeeii 时间: 2022-7-3 08:00
绑定

作者: WZ-Software 时间: 2022-7-3 08:23
现装wg再装zr试试看

作者: gzelvis 时间: 2022-7-5 16:27

WZ-Software 发表于 2022-7-3 08:23
现装wg再装zr试试看

我安装的时候就是先 wireguard的呀，因为linux不是wireguard内建的嘛，之后再配置的zerotier，貌似是Debian11里，wireguard 和 zerotier 的metric都是0.结果系统到了那里不知道走那个流量出去了。但之前的cenetos 默认设置了 wireguard 是 metric 100 。这个不知道在那里设置的，烦

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)