beepop Posted September 12, 2022 Share Posted September 12, 2022 (edited) Доброго времени суток господа. Решил поднять Wireguard сервер для доступа к домашним ресурсам и интернету домашнего роутера с различных точек. Настроил одного клиента на смартфоне. Всё работало замечательно. Когда добавил второй пир, первый пир перестал функционировать. Не пингуется даже сам интерфейс wireguard хотя тунель поднимается. В этот же момент последний добавленный пир прекрасно работает. Я грешным делом подумал что у кинетика на каждый тунель ограничение по 1 пиру на интерфейс но в мануале сказано что есть возможность подключения нескольких клиентов одновременно. Цитата 2. Затем нужно добавить пир(ы). Пиром (Peer) называют участника или клиента данного соединения. В одном VPN-подключении можно создать несколько пиров, например, для подключения к VPN-серверу с разных компьютеров или мобильных устройств. В чём может быть проблема? Почему перестаёт работать ранее работоспособный пир каждый раз после добавления нового? Заранее спасибо за помощь. Edited September 12, 2022 by beepop Quote Link to comment Share on other sites More sharing options...
beepop Posted September 12, 2022 Author Share Posted September 12, 2022 Разобрался. Если кому интересно, на роутере в настройка пиров Wireguard я по наивности указал в секции разрешенных подсетей 0.0.0.0/0 (для доступа в локалку и использования интернет соединения домашнего роутера) предполагая что это просто фильтр. В случае с Wireguard там нужно указать точный адрес пира(адрес интерфейса тунеля) с маской /32 и тогда работает 2 и более пиров одновременно. Видимо он функционирует ни как фильтр а как маркер для маршрутов. Всем спасибо. Можем расходиться. Quote Link to comment Share on other sites More sharing options...
beepop Posted September 12, 2022 Author Share Posted September 12, 2022 И да, на клиенте в поле разрешенных подсетей, для того что бы работал интернет с удалённого ресурса, нужно указать 0.0.0.0/0. А желательно даже 0.0.0.0/1, 128.0.0.0/1 для нормального функционирования пресловутого фильтра/маркера. C 0.0.0.0/0 на некоторых устройствах наблюдается проблема с прохождением пакетов. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 12, 2022 Share Posted September 12, 2022 (edited) В моем случае схема чуток по другому по мимо выхода в интернет. Два клиента через моб.оператора и роутер между собой Скрытый текст Помимо интернета на T505 например iperf3 -s а на A70 например iperf3 -c 10.16.130.18 -t 3600 -P 20 -R Далее любой клиент может через total commander + LAN (Общий доступ Windows) попасть либо на диск роутера или на клиента в лок.сети ПК (Winodws) на его папку/диск. Edited September 12, 2022 by vasek00 Quote Link to comment Share on other sites More sharing options...
beepop Posted September 12, 2022 Author Share Posted September 12, 2022 Единственное что у меня так и не получилось так это доступ из локальной сети роутера на уделённый комп подключённый к нему через тунель. На удалённом компе локалка роутера доступна. В том числе и машины в этой локалке. Но сам удалённый комп недоступен. И вроде понятно почему, он натится на WG интерфейсе и нужно сделать проброс портов но победить это в кинетике у меня не получается. На Никсе с Варигардом никаких проблем, на кинетике видимо шаман понадобится ))) Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 13, 2022 Share Posted September 13, 2022 8 часов назад, beepop сказал: Единственное что у меня так и не получилось так это доступ из локальной сети роутера на уделённый комп подключённый к нему через тунель. На удалённом компе локалка роутера доступна. В том числе и машины в этой локалке. Но сам удалённый комп недоступен. И вроде понятно почему, он натится на WG интерфейсе и нужно сделать проброс портов но победить это в кинетике у меня не получается. На Никсе с Варигардом никаких проблем, на кинетике видимо шаман понадобится ))) К тому посту который выше имеем wireguard в системе он Wireguard3 interface Wireguard3 description PKN-WG security-level private ... wireguard peer EUvA....Xs= !A70 ... ! wireguard peer y0.....CA= !T505 Нужно добавить строчку ip nat Wireguard3 можно в конфиг, а можно через cli но потом записать : 1. - security-level private по умолчанию он public 2. - ip nat Wireguard3 1 Quote Link to comment Share on other sites More sharing options...
Oleg Nekrylov Posted September 20, 2022 Share Posted September 20, 2022 Прошивка 3.9b0 Не работает interface Wireguard18 description OFFICE security-level private ip address 10.10.0.254 255.255.255.0 wireguard peer jmi... !01. Клиент 01 allow-ips 10.10.0.1 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer Wr2... !02. Клиент 02 allow-ips 10.10.0.2 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer rFE... !03. Клиент 03 allow-ips 10.10.0.3 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18 ip nat Wireguard18 Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется. Quote Link to comment Share on other sites More sharing options...
vasek00 Posted September 20, 2022 Share Posted September 20, 2022 18 минут назад, Oleg Nekrylov сказал: Прошивка 3.9b0 Не работает interface Wireguard18 description OFFICE security-level private ip address 10.10.0.254 255.255.255.0 wireguard peer jmi... !01. Клиент 01 allow-ips 10.10.0.1 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer Wr2... !02. Клиент 02 allow-ips 10.10.0.2 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer rFE... !03. Клиент 03 allow-ips 10.10.0.3 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18 ip nat Wireguard18 Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется. А если allow-ips прописать 192.168.10.0/24 Quote Link to comment Share on other sites More sharing options...
beepop Posted September 20, 2022 Author Share Posted September 20, 2022 49 минут назад, Oleg Nekrylov сказал: Прошивка 3.9b0 Не работает interface Wireguard18 description OFFICE security-level private ip address 10.10.0.254 255.255.255.0 wireguard peer jmi... !01. Клиент 01 allow-ips 10.10.0.1 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer Wr2... !02. Клиент 02 allow-ips 10.10.0.2 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! wireguard peer rFE... !03. Клиент 03 allow-ips 10.10.0.3 255.255.255.255 allow-ips 0.0.0.0 0.0.0.0 ! up ! ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18 ip nat Wireguard18 Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется. Вам скорее всего поможет вот это: interface Wireguard18 security-level public system configuration save У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован. Quote Link to comment Share on other sites More sharing options...
Oleg Nekrylov Posted September 21, 2022 Share Posted September 21, 2022 (edited) 21 час назад, vasek00 сказал: А если allow-ips прописать 192.168.10.0/24 Не помогает 21 час назад, beepop сказал: У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован. Не, не по гайду, изначально он был public, я его специально в private переключил, чтобы multicast работал для Siemens SIMATIC NET, тк: access-list _WEBADMIN_Wireguard18 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 auto-delete ! interface Wireguard18 ip access-group _WEBADMIN_Wireguard18 in эту проблему не решает. PS: Проблема появляется только когда в туннеле имеется 2+ пира, с 1 пиром проблем нет. В принципе жить не мешает, да и с точки безопасности это к лучшему (тк при падении сервера отлетят все пиры [и трафик между ними]) - но не красиво, хотелось бы сгруппировать заводы/полёвку по группам. Edited September 21, 2022 by Oleg Nekrylov Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.