我有两个OPEN SUSE 15实例,它们是最新的WG版本。
此设置旨在在高延迟和可疑功率条件下测试集线器/分支配置。
HUB如下wg0.conf中定义:
[Interface]
Address = 10.11.224.13/24
ListenPort = 45340
PrivateKey = <snip>
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;iptables -A FORWARD -o %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE;iptables -D FORWARD -o %i -j ACCEPT
[Peer]
PublicKey = <snip>
AllowedIPs = 10.11.16.13/32
集线器(bhgateway)的eth0 IP为10.15.115.13,网关为10.15.115.1(检查点防火墙)
客户端/代号如下:wg0.conf中定义:
[Interface]
Address = 10.11.16.13/24
PrivateKey = <snip>
[Peer]
PublicKey = <snip>
Endpoint = bhgateway:45340
AllowedIPs = 10.15.115.0/24, 10.11.224.0/24
PersistentKeepalive = 25
客户端/分支的eth0 IP为172.16.16.241,网关为172.16.16.254。 bhgateway的名称解析是通过/ etc / hosts文件进行的。不需要DNS。
两者都在防火墙后进行了NAT。只有集线器具有转发到端口45340的“公用” IP。它位于检查点防火墙的后面,其中UDP 45340转发到10.15.115.13(这是集线器的以太网适配器的IP地址)。
所有这些都能完美地工作。打开防火墙,打开计算机,在两者上都执行“ wg-quick up wg0”,瞧!我有一个永久的VPN隧道,看起来非常稳定。
但是,如果重新启动检查点防火墙,则会丢失隧道。重建它的唯一方法是发出wg-quick down命令,然后发出wg-quick up命令。我想知道为什么会这样。 UDP对防火墙重启不敏感,对吗?接口和路由仍保留。那么,阻塞流量的原因是什么,为什么持久性数据包不触发新的握手,为什么wg-quick down和up命令使其重新开始工作?