+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Wireguard в LXC, Proxmox Виртуальная Среда

gusto

Guest

25.12.2023 13:41:00

Когда у меня был Proxmox 7.x, я также использовал Wireguard в LXC. Я всегда настраивал это соответствующим образом. Летом 2023 года я перешёл на Proxmox 8.x и забыл сделать эту настройку, а Wireguard всё ещё работает в LXC. Необходима ли эта настройка только для OpenVPN, или также для Wireguard? Кто-то ответил на Reddit, что эту настройку делать не нужно. Цитата: "Пожалуйста, этого не делайте. Предоставление полного доступа группе 10:200 позволяет контейнеру LXC получить доступ и изменить *все* устройства туннеля на хосте. Это потенциально серьёзная проблема безопасности, если вам не нужен LXC для управления интерфейсами на хосте или другими контейнерами, и вы понимаете, что делаете."

aurelagep

Guest

15.09.2024 18:04:00

Привет! У меня получилось настроить WireGuard в не привилегированном контейнере LXC без изменения настроек tun/tap LXC. Я написал небольшой скрипт, который можно использовать в LXC для установки и добавления пользователя.

Cheers Proxmox 8.4

Мой lxc.conf:

```
arch: amd64
cores: 2
features: nesting=1
hostname: vpn
memory: 2048
net0: name=eth0,bridge=vmbr0,firewall=1,gw=192.168.0.1,hwaddr=BC:24:11:XX:XX:XXX,ip=192.168.0.2/24,type=veth
onboot: 1
ostype: debian
rootfs: local:XXX/vm-XXX-disk-0.raw,size=32G
swap: 2048
```

Скрипт: https://github.com/pandamasta/dotfiles/blob/master/scripts/wireguard/wireguard.sh

Надеюсь, это поможет!

С уважением

gusto Guest	#3 0 15.09.2024 20:57:00 Я твой скрипт пока не пробовал. Но нашёл отличного wg webadmin, который работает просто замечательно. Использую его как docker, вложенный в LXC.

jpfeifer90

Guest

26.02.2025 06:29:00

Пытаюсь понять, куда я засунул некоторые из этих конфигурационных файлов, которые видел на форуме. Я могу поднять и запустить WireGuard, потом подключаюсь к своему iPhone через приложение WireGuard. Всё видно, но интернет или локальные приложения недоступны. Могу пинговать его через инструменты в GUI WireGuard или в веб-браузере, показывает, что он жив. Потом зашёл в шелл и смог пинговать google.com без проблем, пришёл ответ. Кажется, что дело в пире. Не уверен, что не хватает какой-то настройки. Настроил сервер на статический IP и открыл порт. Если бы порт не был открыт, я бы не смог подключиться. Есть какие-нибудь идеи?

gusto Guest	#5 0 26.02.2025 14:44:00 Что тебе нужно добиться? Код: iphone <---internet---> wg_server <---internet---> Хочешь, чтобы твой iPhone подключался к интернету через wg сервер?

jpfeifer90 Guest	#6 0 27.02.2025 00:17:00 Хочу, чтобы я мог подключаться к интернету через wg сервер со своего iPhone. И чтобы я мог заходить в приложения, например, настроить Vault Warden для менеджера паролей. Хочу получать доступ к этому тоже через VPN.

jpfeifer90 Guest	#7 0 27.02.2025 00:20:00 Хочу, чтобы я мог подключаться к интернету через wg-сервер со своего iPhone. И чтобы ещё мог заходить в приложения, типа настроить Vault Warden для менеджера паролей. Хочу подключаться к этому тоже через VPN.

gusto Guest	#8 0 27.02.2025 15:23:00 Покажите ваш конфигурационный файл wgx.conf на серверах wg и на iPhone (чувствительные данные в conf замазаны). Я бы подумал об установке wireguard_webadmin. Отлично работает в Docker (в LXC).

BobhWasatch Guest	#9 0 27.02.2025 15:35:00 Если ваш wg_server находится за обычным роутером провайдера, то он не будет доступен из интернета без внесения некоторых изменений в его настройки, например, включения переадресации порта.

gusto Guest	#10 0 27.02.2025 16:17:00 Смотри пост #8.

jpfeifer90 Guest	#11 0 27.02.2025 16:42:00 Ок. Посмотрю, что можно сделать. У вспомогательных скриптов есть настройки по умолчанию с файлом конфигурации? Или я должен был добавить их туда после установки?

jpfeifer90 Guest	#12 0 27.02.2025 16:43:00 Оно за моим роутером. Я открыл порт. Подключиться к серверу могу, а интернет-соединения нет.

gusto Guest	#13 0 28.02.2025 19:14:00 Если никто не знает о вышеупомянутой конфигурации, никто не сможет помочь. Соответствующие статьи в блоге можно найти на Pro Custodibus.

jpfeifer90

Guest

#14

01.03.2025 03:40:00

[Interface] Address = 10.0.0.1/24 SaveConfig = true PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ListenPort = 51820 [Peer] PublicKey = AllowedIPs = 10.0.0.2/32 Вот файл .conf, который у меня есть. Заметил одну штуку: в нем нет моего публичного IP-адреса в качестве endpoint. Но когда я меняю его на него, все равно нет доступа к интернету.

gusto Guest	#15 0 01.03.2025 07:45:00 Попробуй этот код: [Peer] PublicKey = *************************************** AllowedIPs = 0.0.0.0/0 Endpoint = ip_wg_server_or_domain_name:port PersistentKeepalive = 25

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры