Jump to content

проблема с wireguard


Recommended Posts

Пытаюсь поднять VPN на wireguard, но что-то плохо получается :(

есть кинетик 4G с белым IP в роли сервера, вот с такими настройками..

1.thumb.jpg.75bcb43786ab38eeb574a58eaba182ae.jpg

2.thumb.jpg.ab7d98a72bd14b3f3bd670aaf2d4d1a4.jpg3.thumb.jpg.89c718c48b697fd0563268732239defa.jpg

4.thumb.jpg.6423108447a4751aa0b9c19d84c02018.jpg

5.thumb.jpg.86218caf58f24726d01985a3120d3e3a.jpg

Плюс есть второй кинетик выступающий в роли клиента с такими настройками..6.thumb.jpg.29d2bfba7ffe9b5b8a3a82ad5a938e40.jpg

7.thumb.jpg.251213a6f7994943840ffb3ff6579300.jpg

8.thumb.jpg.68bdb1dbe165e4198216ce3792d67573.jpg

9.thumb.jpg.d7fa89e363747c59a8f4e5a54cb9fc9c.jpg

Проблема в том ,что со стороны сервера нормально пингуются как интерфейсы тунеля так и хосты за кинетиком "клиента" . Со стороны Клиента не пингуются ни интерфейс сервера (172,16,82,1) ни хосты за ним.

Куда копать?

Спасибо.

Сильно не пинайте если не правильно или не понятно оформил вопрос.

Link to comment
Share on other sites

При непонятках с WG всегда начинайте с трех пунктов:

- поставить allow ips в 0.0.0.0/0 на обоих концах

- посмотреть на acl, разрешить все
- проверить security-level

Обычно этого хватает.

Link to comment
Share on other sites

2 часа назад, bober777 сказал:

можно по понятней по последним двум пунктам. спасибо.

Для начала, на сервере временно удалите два других пира кроме WG-home, чтобы исключить пересечения по alowed ip. На сервере и клиенте выполните show interface wireguard0 , там будет видно security-level. Acl'ы, судя по скринам, у вас и так разрешают все.

Link to comment
Share on other sites

login as: admin
admin@172.16.1.1's password:
KeeneticOS version 3.05.C.1.0-1, copyright (c) 2010-2020 Keenetic


THIS SOFTWARE IS A SUBJECT OF KEENETIC LIMITED END-USER LICENCE AG
USING IT YOU AGREE ON TERMS AND CONDITIONS HEREOF. FOR MORE INFORM
CHECK https://keenetic.com/legal

(config)> show interface wireguard0
Command::Base error[7405602]: argument parse error.

Link to comment
Share on other sites

1 час назад, bober777 сказал:

login as: admin
admin@172.16.1.1's password:
KeeneticOS version 3.05.C.1.0-1, copyright (c) 2010-2020 Keenetic


THIS SOFTWARE IS A SUBJECT OF KEENETIC LIMITED END-USER LICENCE AG
USING IT YOU AGREE ON TERMS AND CONDITIONS HEREOF. FOR MORE INFORM
CHECK https://keenetic.com/legal

(config)> show interface wireguard0
Command::Base error[7405602]: argument parse error.

Надеюсь это вас не остановило и вы попробовали Wireguard0 с большой буквы)

Link to comment
Share on other sites

Мдя....

Тогда на сервере.

 show interface Wireguard0

               id: Wireguard0
            index: 0
             type: Wireguard
      description: WG-Server
   interface-name: Wireguard0
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 50
          address: 172.16.82.1
             mask: 255.255.255.0
           uptime: 423149
           global: no
   security-level: public

        wireguard:
           public-key: wBtfkhiO05eGGnmGBLM2CMtCHH3AV2r5OenoO4iZJEI=
          listen-port: 17216
               status: up

                 peer:
               public-key:
                           2jI9FaIf0XdF4qqvTjydcFUG6LETuSz/Da+lVcKYRC4=
                    local: 0.0.0.0
               local-port: 17216
                      via:
                   remote: 0.0.0.0
              remote-port: 0
                  rxbytes: 103645348
                  txbytes: 102785040
           last-handshake: 103
                   online: yes
 

Link to comment
Share on other sites

На клиенте

show interface Wireguard0

               id: Wireguard0
            index: 0
             type: Wireguard
      description: WG-Home
   interface-name: Wireguard0
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 50
          address: 172.16.82.2
             mask: 255.255.255.0
           uptime: 431965
           global: no
   security-level: public

        wireguard:
           public-key: 2jI9FaIf0XdF4qqvTjydcFUG6LETuSz/Da+lVcKYRC4=
          listen-port: 48950
               status: up

                 peer:
               public-key:
                           wBtfkhiO05eGGnmGBLM2CMtCHH3AV2r5OenoO4iZJEI=
                    local: 192.168.8.100
               local-port: 48950
                      via: CdcEthernet0
                   remote: 94.231.147.251
              remote-port: 17216
                  rxbytes: 4438192
                  txbytes: 5491864
           last-handshake: 7
                   online: yes
 

Link to comment
Share on other sites

Сегодня заметил следующую ситуацию: KN-1010 (3.5.4),является домашним vpn-сервером IKEv2 / Wireguard. Клиент - ПК на работе под управлением Windows 8.1 Pro. Так вот, если с ПК цепляюсь к KN-1010 по протоколу IKEv2, используя основной шлюз в удалённой сети, то на ПК работает и интернет (шлюз домашнего роутера), и локальная сеть организации (пингуются сервера, МФУ итд.), но как только стоит подключиться к KN-1010 по протоколу Wireguard (инет завернут также в туннель (ip nat Wireguard0, interface Wireguard0 security-level private)), локальная связь обрывается (не пингуются ни сервера, ни МФУ), остается только выход в интернет. Если NAT отключаю (no ip nat Wireguard0, interface Wireguard0 security-level public), локальная связь восстанавливается. С маршрутами игрался, вроде всё перепробовал...... Нужно сделать так, чтобы ПК имел основным шлюзом - домашний роутер, но при этом я мог спокойно обращаться к ресурсам организации.

  • Thanks 1
Link to comment
Share on other sites

В 30.11.2020 в 16:06, stefbarinov сказал:

Сегодня заметил следующую ситуацию: KN-1010 (3.5.4),является домашним vpn-сервером IKEv2 / Wireguard. Клиент - ПК на работе под управлением Windows 8.1 Pro. Так вот, если с ПК цепляюсь к KN-1010 по протоколу IKEv2, используя основной шлюз в удалённой сети, то на ПК работает и интернет (шлюз домашнего роутера), и локальная сеть организации (пингуются сервера, МФУ итд.), но как только стоит подключиться к KN-1010 по протоколу Wireguard (инет завернут также в туннель (ip nat Wireguard0, interface Wireguard0 security-level private)), локальная связь обрывается (не пингуются ни сервера, ни МФУ), остается только выход в интернет. Если NAT отключаю (no ip nat Wireguard0, interface Wireguard0 security-level public), локальная связь восстанавливается. С маршрутами игрался, вроде всё перепробовал...... Нужно сделать так, чтобы ПК имел основным шлюзом - домашний роутер, но при этом я мог спокойно обращаться к ресурсам организации.

Напишите в поддержку пожалуйста.

Link to comment
Share on other sites

@Le ecureuil, Это нормально, когда один из клиентов столько "потребляет" трафика, шлюз в инет у него свой, чекбокс "Использовать для входа в Интернет" не трогал. У клиента "WG-BRZ" аналогичные настройки, но такого не происходит.

Screenshot_5.jpg

Screenshot_6.jpg

Screenshot_1.jpg

Screenshot_2.jpg

Screenshot_3.jpg

Edited by stefbarinov
Link to comment
Share on other sites

  • 9 months later...
В 30.11.2020 в 16:06, stefbarinov сказал:

Сегодня заметил следующую ситуацию: KN-1010 (3.5.4),является домашним vpn-сервером IKEv2 / Wireguard. Клиент - ПК на работе под управлением Windows 8.1 Pro. Так вот, если с ПК цепляюсь к KN-1010 по протоколу IKEv2, используя основной шлюз в удалённой сети, то на ПК работает и интернет (шлюз домашнего роутера), и локальная сеть организации (пингуются сервера, МФУ итд.), но как только стоит подключиться к KN-1010 по протоколу Wireguard (инет завернут также в туннель (ip nat Wireguard0, interface Wireguard0 security-level private)), локальная связь обрывается (не пингуются ни сервера, ни МФУ), остается только выход в интернет. Если NAT отключаю (no ip nat Wireguard0, interface Wireguard0 security-level public), локальная связь восстанавливается. С маршрутами игрался, вроде всё перепробовал...... Нужно сделать так, чтобы ПК имел основным шлюзом - домашний роутер, но при этом я мог спокойно обращаться к ресурсам организации.

Здравствуйте, у меня такая же проблема... Вы нашли решение?

Link to comment
Share on other sites

2 часа назад, Terteriary сказал:

Здравствуйте, у меня такая же проблема... Вы нашли решение?

Добрый день. Нашел. Нужно было снять галочку в чек боксе "Блокировать нетуннелированный трафик". Если ситуация не изменится, то на ПК прописать маршрут в нужную сеть (до нужного хоста) по типу route -p add 1.1.1.1 (нужный хост) mask 255.255.255.255 2.2.2.2 (шлюз, за которым ПК)

Screenshot_1.jpg

Edited by stefbarinov
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...