Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

WireGuard работает в одну сторону (не пингуется в обе)

aarnet
 Share

Recommended Posts

aarnet Advanced Member

aarnet

Posted
Posted

Имеем WireGuard туннель между двумя сетями, Keenetic GIGA-1010 и GIGA-1011
WireGuard 10.0.0.1/24 ("сервер" с белым IP) и 10.0.0.2/24 ("клиент" с серым/динамическим)
сети: "сервер" GIGA-1010  - 10.20.120.0/24 (10.20.121.1) и "клиент" GIGA-1011 - 10.20.121.0/24 (10.20.121.1)
2022-08-13_181935.thumb.jpg.46ce9ae0db8cf35a8df0bf2c72feb99b.jpg
WireGuard поднимется без каких либо проблем.
из одной сети в другую не пингуется ничего ни в одну сторону, ни в другую.
единственно что пингуется это IP WireGuard со "своей" стороны - из сети 10.20.120.0/24 -> 10.0.0.1 и из сети 10.20.121.0/24 -> 10.0.0.2

при этом доступ к ресурсам из сети 10.20.121.0/24 в сеть 10.20.120.0/24  и обратно есть. доступны вэбморды как Keenetic "сервер" 10.20.120.1 так и других устройств в сети (NAS), есть доступ к сетевым папкам...

из сети "сервера" 10.20.120.0/24 в сеть "клинета" 10.20.121.0/24 доступ есть к вэбморде Keenetic "клиент", и вэб интерфесам другого оборудования, при этом к сетевым папкам диска подключенного к кинетику доступ есть, к сетевым папкам другого оборудования - доступа нет.

маршруты до сетей для интерфейса WG прописаны прописаны с обоих сторон туннеля
правила "разрешить все" межсетевого экрана прописаны так же как для TCP так и для UDP
в настройках WG в разрешенных сетях поставил уже 0.0.0.0/0 - не помогает.

куда копать ?

Link to comment
Share on other sites
stefbarinov Honored Flooder

stefbarinov

Posted
Posted
12 часа назад, aarnet сказал:

как посмотреть через CLI реально разрешенные подсети для WG ?

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

  • Thanks 1
Link to comment
Share on other sites
aarnet Advanced Member

aarnet

Posted
  • Author
Posted
2 часа назад, stefbarinov сказал:

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

нда.... спасибо
надо FAQ читать внимательнее мне в будущем...  уверен был что для TCP и UDP надо было включать :(

Link to comment
Share on other sites
  • 2 weeks later...
AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

WG-S - conf.png

WG-S - static.png

WG-S - route.png

WG-S - tracert.png

Link to comment
Share on other sites
stefbarinov Honored Flooder

stefbarinov

Posted
Posted (edited)
10 часов назад, AlexeyAnikin1976 сказал:

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

WG-S - conf.png

WG-S - static.png

WG-S - route.png

WG-S - tracert.png

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

Edited by stefbarinov
Link to comment
Share on other sites
AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted (edited)
4 часа назад, stefbarinov сказал:

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

Всё сделал чётко по инструкции! Но!...

Посмотрите на трассировку из сети 192,168,1,0 - дальше роутера не идёт. Я имею ввиду должен быть прыжок на интерфейс ВГ.

Но ведь два пинга как-то проходят во вторую сеть (см. ниже)!!!

Посмотрите на трассировку из сети 192,168,2,0 - пингуется роутер и НАС. На 9-ом адресе сервер - уже нет :(

Вообще ума не приложу - по конфе всё ровно, а в реале - глюк :(

WG-S - tracert from Baza.png

Edited by AlexeyAnikin1976
!!!
Link to comment
Share on other sites
AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted
16 минут назад, stefbarinov сказал:

В МСЭ точно открыли протокол IP для всего с обоих сторон? 192.168.1.9 - это ПК?

Всё точно по инструкции. Со стороны ВГ-сервера неправильно указал маску - теперь есть прыжок на интерфейс!

Теперь только одна проблема: в первой сети роутер и НАС, во второй роутер и сетевой принтер - пингуются; компьютеры - внутри локалок пингуются, через тунель никак.

Link to comment
Share on other sites
AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted (edited)

Решение

https://help.keenetic.com/hc/ru/articles/115005881865-Настройка-Брандмауэра-Windows-для-подключений-из-сети-за-VPN-сервером-Keenetic

Добавить в разрешённые - сеть туннеля и сеть пира.

Edited by AlexeyAnikin1976
!!!
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...