Jump to content

Recommended Posts

Доброго времени суток господа. Решил поднять Wireguard сервер для доступа к домашним ресурсам и интернету домашнего роутера с различных  точек. Настроил одного клиента на смартфоне. Всё работало замечательно. Когда добавил второй пир, первый пир перестал функционировать. Не пингуется даже сам интерфейс wireguard хотя тунель поднимается. В этот же момент последний добавленный пир прекрасно работает. Я грешным делом подумал что у кинетика на каждый тунель ограничение по 1 пиру на интерфейс но в мануале сказано что есть возможность подключения нескольких клиентов одновременно.

Цитата

2. Затем нужно добавить пир(ы). Пиром (Peer) называют участника или клиента данного соединения. В одном VPN-подключении можно создать несколько пиров, например, для подключения к VPN-серверу с разных компьютеров или мобильных устройств.

В чём может быть проблема? Почему перестаёт работать ранее работоспособный пир каждый раз после добавления нового?
Заранее спасибо за помощь.

Edited by beepop
Link to comment
Share on other sites

Разобрался.
Если кому интересно, на роутере в настройка пиров Wireguard я по наивности указал в секции разрешенных подсетей 0.0.0.0/0 (для доступа в локалку и использования интернет соединения домашнего роутера) предполагая что это просто фильтр. В случае с Wireguard там нужно указать точный адрес пира(адрес интерфейса тунеля) с маской /32 и тогда работает 2 и более пиров одновременно. Видимо он функционирует ни как фильтр а как маркер для маршрутов. Всем спасибо. Можем расходиться. ;-)

 

image.thumb.png.277a27fe75a8e29ff3ff18878eb3ed2f.png

 

Link to comment
Share on other sites

И да, на клиенте в поле разрешенных подсетей, для того что бы работал интернет с удалённого ресурса, нужно указать 0.0.0.0/0. А желательно даже 0.0.0.0/1, 128.0.0.0/1 для нормального функционирования пресловутого фильтра/маркера. C 0.0.0.0/0 на некоторых устройствах наблюдается проблема с прохождением пакетов.

Link to comment
Share on other sites

В моем случае схема чуток по другому по мимо выхода в интернет. Два клиента через моб.оператора и роутер между собой

Скрытый текст

2109882090_-4.thumb.jpg.4d203f0b976105206546a6960f57bd5a.jpg

Помимо интернета на T505 например iperf3 -s а на A70 например iperf3 -c 10.16.130.18 -t 3600 -P 20 -R

Далее любой клиент может через total commander + LAN (Общий доступ Windows) попасть либо на диск роутера или на клиента в лок.сети ПК (Winodws) на его папку/диск.

Edited by vasek00
Link to comment
Share on other sites

Единственное что у меня так и не получилось так это доступ из локальной сети роутера на уделённый комп подключённый к нему через тунель. На удалённом компе локалка роутера доступна. В том числе и машины в этой локалке. Но сам удалённый комп недоступен. И вроде понятно почему, он натится на WG интерфейсе и нужно сделать проброс портов но победить это в кинетике у меня не получается. На Никсе с Варигардом никаких проблем, на кинетике видимо шаман понадобится )))

Link to comment
Share on other sites

8 часов назад, beepop сказал:

Единственное что у меня так и не получилось так это доступ из локальной сети роутера на уделённый комп подключённый к нему через тунель. На удалённом компе локалка роутера доступна. В том числе и машины в этой локалке. Но сам удалённый комп недоступен. И вроде понятно почему, он натится на WG интерфейсе и нужно сделать проброс портов но победить это в кинетике у меня не получается. На Никсе с Варигардом никаких проблем, на кинетике видимо шаман понадобится )))

К тому посту который выше имеем wireguard в системе он Wireguard3

interface Wireguard3
    description PKN-WG
    security-level private
...
    wireguard peer EUvA....Xs= !A70
...
    !
    wireguard peer y0.....CA= !T505

Нужно добавить строчку

ip nat Wireguard3

можно в конфиг, а можно через cli но потом записать :

1. - security-level private

по умолчанию он public

2. - ip nat Wireguard3

  • Upvote 1
Link to comment
Share on other sites

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.

Link to comment
Share on other sites

18 минут назад, Oleg Nekrylov сказал:

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.

А если allow-ips прописать 192.168.10.0/24

Link to comment
Share on other sites

49 минут назад, Oleg Nekrylov сказал:

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.


Вам скорее всего поможет вот это:

interface Wireguard18 security-level public

system configuration save


У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован.

Link to comment
Share on other sites

21 час назад, vasek00 сказал:

А если allow-ips прописать 192.168.10.0/24

Не помогает

21 час назад, beepop сказал:

У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован.

Не, не по гайду, изначально он был public, я его специально в private переключил, чтобы multicast работал для Siemens SIMATIC NET, тк:

access-list _WEBADMIN_Wireguard18
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    auto-delete
!
interface Wireguard18
    ip access-group _WEBADMIN_Wireguard18 in

эту проблему не решает.

 

PS: Проблема появляется только когда в туннеле имеется 2+ пира, с 1 пиром проблем нет. В принципе жить не мешает, да и с точки безопасности это к лучшему (тк при падении сервера отлетят все пиры [и трафик между ними]) - но не красиво, хотелось бы сгруппировать заводы/полёвку по группам.

Edited by Oleg Nekrylov
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...