Proves amb Wireguard

[Elias Porter]

Bones!

Soc un estudiant d'ASIX fent les practiques en una empresa. M'adreço a vosaltres de part de l'Ignasi Fosch, que m'ha parlat molt bé d'aquesta comunitat!

El projecte en el qual estic treballant tracta sobre les diferents possibilitats d'actualització del servei VPN que fa servir l'empresa actualment.

Un dels sistemes que estem provant és wireguard.

Tenim tota la infraestructura a AWS, on hem fet un laboratori on vaig potinejant.

La idea és que els treballadors de l'empresa tinguin accés a la intranet a través del túnel.

Per a simular això, tenim una EC2 amb un servidor nginx amb una pàgina privada només accessible des de la intranet.

En una altra EC2 tenim el servidor de wireguard, amb accés a la pàgina privada i el servei dnsmasq per resoldre noms.

Després de barallar-nos-hi molt, hem aconseguit que el túnel s'estableixi, però no aconseguim que la resolució de noms sigui correcta. Només obtenim accés a la intranet si a la configuració de xarxa del client (ubuntu20) introduïm manualment com servidor de dns l'ip del servidor wireguard. Com que tenim usuaris amb sistemes i coneixements molt diferents, no ens sembla una bona estratègia que hagin de tocar més configuracions que la que els hi passarem nosaltres ben empaquetadeta.

Us heu trobat amb alguna situació similar?

Moltes gràcies per tot!

[ismae...@gmail.com]

Hola Elias,

No he treballat amb Wireguard a l'empresa pero si que et puc compartir que vam tenir problemes de resolucio de DNS amb openvpn amb ubuntu.  Vam arribar a la conclusio que el error era degut al Network Manager, no actualitzava la prioritat del dns-resolver quan estavem connectats a la VPN.

Modifiquem el fitxer /etc/NetworkManager/system-connections/.nmconnection per canviar el dns-priority=-100 i el dns-search

Tambe vam haver de cambiar el /etc/resolv.conf per portar el stub-resolv.conf

sudo rm -rf /etc/resolv.conf

sudo ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Crec que tambe es podia canviar aixi la prioritat pero no crec que fos permanent:

nmcli -p connection show (find the connection name, typically tun0, replace in the following command)

nmcli -p connection modify tun0 ipv4.dns-priority -42 

No tinc clar si aquest sera el teu problema, pero expero que al menys no pateixis el mateix problema que vam tenir nosaltres

Salut!

[Alex Muntada]

Hola, Elias:

> Després de barallar-nos-hi molt, hem aconseguit que el túnel
> s'estableixi, però no aconseguim que la resolució de noms sigui
> correcta. Només obtenim accés a la intranet si a la configuració
> de xarxa del client (ubuntu20) introduïm manualment com servidor
> de dns l'ip del servidor wireguard.

No conec el wireguard però a la meva antiga feina el servidor
openvpn estava configurat per canviar el DNS dels clients via
DHCP:

push "dhcp-option DNS 1.1.1.1"

Imagino que amb wireguard s'hauria de poder indicar de manera
similar.

Salut,
Alex

[Elias Porter]

Bones!

Moltes gràcies per respondre!

Del que em comenteu ja ens hi vam trobar també quan vam estar fent proves
amb openVPN, però amb el Wireguard és un mal de cap...

A veure com madura el guarda del fil i potser ho tornem a provar!

Salut!

El dia dimarts, 25 de gener de 2022 a les 1:22:54 UTC+1, Alex Muntada va escriure: