]> Sergey Matveev's repositories - stargrave-blog.git/commitdiff
WireGuard подвис
authorSergey Matveev <stargrave@stargrave.org>
Tue, 7 Feb 2023 14:36:50 +0000 (17:36 +0300)
committerSergey Matveev <stargrave@stargrave.org>
Tue, 7 Feb 2023 14:36:50 +0000 (17:36 +0300)
Поднимал у себя на домашнем сервере один демон. 95% времени потратил на
заведение доменного имени под stargrave.org доменом. Что может быть
проще? Одной командой zeasypki (47b11bfd222d9f3f03664035e4fb4ca32cfa75de)
создал X.509 ключевую пару для него. Ещё одной командой экспортировал
ключ и сертификат. Добавил новую запись о домене в stargrave.org.tcl
(d4eadab571bf5e8ea00d19598f129a708a322d15), запустил redo чтобы получить
новый .zone файл с отпечатками сертификата для новой записи. Скопировать
на сервер, svc -t /var/service/nsd и должно быть всё готово.

Журнал второго DNS сервера говорит о невозможности подключиться к
master-у. Действительно, правила firewall-а запрещают трафик между DNS
серверами моими через "обычный" (просто подключённый к Интернету)
сетевой интерфейс. Он должен ходить через WireGuard
(aa04778f64d88a498158e9e361908a32ca2dc7df). А для этого должен быть
маршрут. А для этого работающий BGP. А для этого работающий WG-туннель.
Туннели у меня подняты, с одной стороны tcpdump показывает что трафик
отправляется на другую сторону, но на ней ничего не происходит. Ни
сообщений, ни дешифрованного пакета не видно. И только после перезапуска
WireGuard демона, всё начало работать, обмениваться маршрутами,
реплицировать DNS-ы.

В общем, по какой-то причине демон на VPS-ке вроде бы и работал, но стал
игнорировать пакеты. Возможно потому что это всё запускается на древней
FreeBSD 11.0 и это её баги. Пока неизвестно, но подвох имеется.


No differences found