Cấu hình IP cụ thể trong bài lab:
- Router Internet (modem nhà mạng):
192.168.10.1 - Router cân bằng tải:
- WAN:
192.168.10.2 - LAN:
192.168.1.1
- WAN:
- Server WireGuard VPN:
192.168.1.32(thuộc mạng LAN192.168.1.0/24) - Dải IP VPN (WireGuard):
10.113.141.0/24(ví dụ client:10.113.141.3) - Interface WireGuard trên server:
wg0 - Interface mạng ra LAN/Internet trên server:
wlan0(nếu dùng LAN dây thì sẽ làeth0hoặc tên khác)
Triệu chứng ban đầu:
- Client VPN kết nối thành công, có thể truy cập Internet.
- Ping được router cân bằng tải (
192.168.1.1) và router Internet (192.168.10.1). - Không ping được các máy khác trong LAN 192.168.1.x.
Trường hợp nhà mình đang NAT 2 lần: tức là mô hình Internet -> Router nhà mạng -> Router Cân bằng tải -> Server VPN. Khi Client kết nối được với Wireguard, đã có traffic (byte send và byte received) nhưng trên Client không ra Internet được.
Các Cách Fix lỗi Wireguard Client không ra được Internet khi Nat 2 lần như sau:
Trên server Wireguard thực hiện lệnh: ip -o -4 route show to default
Kiểm tra kết quả xem đang sử dụng card mạng gì? trường hợp của mình sẽ ra kết quả:
default via 192.168.1.1 dev wlan0 proto dhcp src 192.168.1.32 metric 600
Vậy là đang dùng card wlan0. Nếu Server của bạn là Card khác thì ghi nhớ tên Card
Tiếp đến nhập các lệnh sau (thay wlan0 thành card của bạn)
# Thêm NAT cho subnet WireGuard sudo iptables -t nat -A POSTROUTING -s 10.113.141.0/24 -o wlan0 -j MASQUERADE # Cho phép traffic từ wg0 đi ra LAN/Internet sudo iptables -A FORWARD -i wg0 -o wlan0 -j ACCEPT # Cho phép traffic ngược lại (gói trả về) đi vào wg0 sudo iptables -A FORWARD -i wlan0 -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT
10.113.141.0/24 là dãy IP của Wireguard cấp cho Client, hãy xem thực tế trên máy của bạn là dãy bao nhiêu thì điền vào cho đúng. Mở file config trong thư mục /home/USER/configs/ ra xem dòng Address = để biết dãy IP bao nhiêu.
Tuy nhiên cách này khi reboot server sẽ bị mất cấu hình, để lưu cấu hình bạn thực hiện lệnh như sau:
sudo apt install iptables-persistent -y # Thêm NAT cho subnet WireGuard sudo iptables -t nat -A POSTROUTING -s 10.113.141.0/24 -o wlan0 -j MASQUERADE # Cho phép traffic từ wg0 đi ra LAN/Internet sudo iptables -A FORWARD -i wg0 -o wlan0 -j ACCEPT # Cho phép traffic ngược lại (gói trả về) đi vào wg0 sudo iptables -A FORWARD -i wlan0 -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo netfilter-persistent save
Một chút lưu ý khi làm Lab đặc biệt là ở nhà thường NAT 2 lần khi qua Router nhà mạng -> Router Wifi -> PC, anh em cần chú ý khi thực hiện
Nếu trường hợp Client kết nối VPN rồi đã ra được Internet nhận được IP WAN của Server VPN, nhưng không thể Ping được các thiết bị trong mạng LAN của VPN Server thì thực hiện như sau:
# Xoá rule NAT cũ sudo iptables -t nat -D POSTROUTING -s 10.113.141.0/24 -o wlan0 -j MASQUERADE # NAT chỉ khi đích KHÔNG phải LAN sudo iptables -t nat -A POSTROUTING -s 10.113.141.0/24 ! -d 192.168.1.0/24 -o wlan0 -j MASQUERADE
Trên Router Cân bằng tải cấu hình Route:
-
Địa chỉ đích* (Destination Network):
10.113.141.0 -
Mặt nạ mạng con* (Subnet Mask):
255.255.255.0 -
Bước kế tiếp (trừ quay số)* (Next Hop / Gateway):
192.168.1.32
→ chính là IP LAN của Server WireGuard VPN. -
Giao diện đầu ra* (Outgoing Interface / Interface):
chọn LAN (hoặc interface tương ứng với mạng 192.168.1.0/24).
Nhớ bấm Lưu/Save/Apply để router ghi lại cấu hình này (nhiều router còn yêu cầu “Apply config” hoặc “Reboot to apply”).
