Re: Servidor Wireguard
El jueves, 21 de enero de 2021 05:05:44 -03 Imeneo Tirinto escribió: > Hola. > > A ver si me podeis ayudar. Tengo un servidor al que le he instalado una VPN > con Wireguard para poder utilizar en exclusiva los servicios instalados > (Apache, Emby, etc). Los servicios funcionan correctamente y puedo acceder > a ellos desde una IP pública (duckdns) abriendo los puertos > correspondientes en el router (80, 443, 8096...). Es decir, en el router > tiene definidas las reglas 192.168.1.100 -> TCP -> 80 por ejemplo. > > El problema es que cuando lanzo el Wireguard los servicios citados siguen > accesibles para cualquiera que tenga la dirección IP pública (duckdns). Yo > quiero restringir el acceso a los clientes definidos en Wireguard. > > Supongo que la solución es definir reglas con Iptables para redirigir el > tráfico desde el dispositivo eth0 a wg0. Es decir, por ejemplo, que todo el > tráfico del puerto 80 que entra a través de la ip 192.168.1.100 definida en > eth0, se redirija a wg0. > > El problema es que no sé cómo hacerlo. Agradecería alguna ayuda o > documentación. > > Gracias. hola. si te he entendido bien. lo que puedes usar es con un Firewall. particularmente uso Firewalld, pero puedes usar ufw o directamente editando las reglas de iptables ó nftables segun sea el caso. ahora con firewalld es facil manejar zonas. agregas eth0 a la zona public, por defecto abre el puerto ssh(22) si quieres que accedan a algun puerto via ip publica lo agregas aca. ejemplo firewall-cmd --permanent --zone=public --add-interface=eth0 firewall-cmd --zone=public --permanent --add-service=http despues para dar libre acceso a la VPN firewall-cmd --permanent --zone=trusted --add-interface=wg0 firewall-cmd --reload con lo anterior con ip publica tendras acceso al puerto 80 y ssh y la vpn podra acceder a cualquier servicio. -- - | Walter Casanova | - - | Gnu / Linux - SysAdmin | -
Re: Servidor Wireguard
Gracias por responder. Quizá no me expliqué bien. Tengo una raspberry en la que tengo instalado Emby. Accedo a este centro multimedia a través de un subdominio de duckdns.org. Para que esto sea posible fuera de mi red local en el router abro el puerto 8096. Hasta aquí todo va fenomenal. El problema lo tengo cuando instalo Wireguard y su cliente. Arranco la VPN, pero Emby sigue accesible fuera de la VPN y yo sólo quiero que sea accesible através de VPN Wireguard. Un saludo On Thu, Jan 21, 2021 at 10:16 AM Camaleón wrote: > El 2021-01-21 a las 09:05 +0100, Imeneo Tirinto escribió: > > > A ver si me podeis ayudar. Tengo un servidor al que le he instalado una > VPN > > con Wireguard para poder utilizar en exclusiva los servicios instalados > > (Apache, Emby, etc). Los servicios funcionan correctamente y puedo > acceder > > a ellos desde una IP pública (duckdns) abriendo los puertos > > correspondientes en el router (80, 443, 8096...). Es decir, en el router > > tiene definidas las reglas 192.168.1.100 -> TCP -> 80 por ejemplo. > > > > El problema es que cuando lanzo el Wireguard los servicios citados siguen > > accesibles para cualquiera que tenga la dirección IP pública (duckdns). > Yo > > quiero restringir el acceso a los clientes definidos en Wireguard. > > Hum... no entiendo bien lo que quieres hacer. ¿Quieres que cualquiera > acceda a los servicios (apache, etc...) de manera remota o sólo quieres > dar acceso a ciertos usuarios/equipos/conexiones remotos? > > Recuerda que para tener un cortafuegos/iptables funcionando en > condiciones necesitas tener al menos dos tarjetas de red o un dispostivo > dedicado que permita definir zonas. > > > Supongo que la solución es definir reglas con Iptables para redirigir el > > tráfico desde el dispositivo eth0 a wg0. Es decir, por ejemplo, que todo > el > > tráfico del puerto 80 que entra a través de la ip 192.168.1.100 definida > en > > eth0, se redirija a wg0. > > > > El problema es que no sé cómo hacerlo. Agradecería alguna ayuda o > > documentación. > > No me queda claro el objetivo, pero quizá esto te pueda ayudar o al > menos, orientar: > > Restrict LAN access > https://www.reddit.com/r/WireGuard/comments/b8uffe/restrict_lan_access/ > > Saludos, > > -- > Camaleón > > -- Imeneo http://cousasdeimeneo.net/ http://twitter.com/cousasdeimeneo
Re: Servidor Wireguard
El 2021-01-21 a las 09:05 +0100, Imeneo Tirinto escribió: > A ver si me podeis ayudar. Tengo un servidor al que le he instalado una VPN > con Wireguard para poder utilizar en exclusiva los servicios instalados > (Apache, Emby, etc). Los servicios funcionan correctamente y puedo acceder > a ellos desde una IP pública (duckdns) abriendo los puertos > correspondientes en el router (80, 443, 8096...). Es decir, en el router > tiene definidas las reglas 192.168.1.100 -> TCP -> 80 por ejemplo. > > El problema es que cuando lanzo el Wireguard los servicios citados siguen > accesibles para cualquiera que tenga la dirección IP pública (duckdns). Yo > quiero restringir el acceso a los clientes definidos en Wireguard. Hum... no entiendo bien lo que quieres hacer. ¿Quieres que cualquiera acceda a los servicios (apache, etc...) de manera remota o sólo quieres dar acceso a ciertos usuarios/equipos/conexiones remotos? Recuerda que para tener un cortafuegos/iptables funcionando en condiciones necesitas tener al menos dos tarjetas de red o un dispostivo dedicado que permita definir zonas. > Supongo que la solución es definir reglas con Iptables para redirigir el > tráfico desde el dispositivo eth0 a wg0. Es decir, por ejemplo, que todo el > tráfico del puerto 80 que entra a través de la ip 192.168.1.100 definida en > eth0, se redirija a wg0. > > El problema es que no sé cómo hacerlo. Agradecería alguna ayuda o > documentación. No me queda claro el objetivo, pero quizá esto te pueda ayudar o al menos, orientar: Restrict LAN access https://www.reddit.com/r/WireGuard/comments/b8uffe/restrict_lan_access/ Saludos, -- Camaleón
Servidor Wireguard
Hola. A ver si me podeis ayudar. Tengo un servidor al que le he instalado una VPN con Wireguard para poder utilizar en exclusiva los servicios instalados (Apache, Emby, etc). Los servicios funcionan correctamente y puedo acceder a ellos desde una IP pública (duckdns) abriendo los puertos correspondientes en el router (80, 443, 8096...). Es decir, en el router tiene definidas las reglas 192.168.1.100 -> TCP -> 80 por ejemplo. El problema es que cuando lanzo el Wireguard los servicios citados siguen accesibles para cualquiera que tenga la dirección IP pública (duckdns). Yo quiero restringir el acceso a los clientes definidos en Wireguard. Supongo que la solución es definir reglas con Iptables para redirigir el tráfico desde el dispositivo eth0 a wg0. Es decir, por ejemplo, que todo el tráfico del puerto 80 que entra a través de la ip 192.168.1.100 definida en eth0, se redirija a wg0. El problema es que no sé cómo hacerlo. Agradecería alguna ayuda o documentación. Gracias. -- Imeneo http://cousasdeimeneo.net/ http://twitter.com/cousasdeimeneo