Jump to content

2 кинетика по Wireguard


Recommended Posts

собственно пытаюсь соединить 2 кинетика по Wireguard, делал по мануалу из https://help.keenetic.com/hc/ru/articles/360012075879

ip адреса самого тунеля пингуються с двух сторон, а собственно сами ресурсы не пингуються 

скрины с клиента

Скрытый текст

Screenshot_10.thumb.jpg.81980739cdeb702c180b0c104ca42ff4.jpg

 

Screenshot_3.jpg.57c967e09265da0654132ec297060dc4.jpg

Screenshot_4.thumb.jpg.75d38a0e90652e1059002a04d84d6a9e.jpg

Screenshot_5.thumb.jpg.a92cca1d187b9242dbc2974ea5b09c00.jpg

скрины с сервера

Скрытый текст

Screenshot_6.thumb.jpg.a435b8dccedc22a5d423358efcdefd26.jpg

Screenshot_7.thumb.jpg.21e7eb320e30b8b5463c0ec96100ae8a.jpg

Screenshot_8.thumb.jpg.e0c0c73842f716005d3a6049d8d63a22.jpg

Screenshot_9.thumb.jpg.8f4877a98255f22e2dc94d7a844dca26.jpg

ЗЫ Конкурс на кол-во скринов надеюсь выиграю) 

Screenshot_2.jpg

Edited by Alex_Foks
Link to comment
Share on other sites

17 минут назад, Alex_Foks сказал:

а собственно сами ресурсы не пингуються 

Цитата

Чтобы по туннелю отправлялся трафик в удаленную сеть, нужно добавить статический маршрут.

Скажите, это сделано?

И что есть ресурсы?

Edited by ANDYBOND
Link to comment
Share on other sites

да конечно на скрине же выложил)

продублирую скрины

Скрытый текст

Screenshot_9.thumb.jpg.3725ea51c7eeb05b299c118f0fda1be4.jpg

Screenshot_5.thumb.jpg.000bec4961f98570eb8825a7e6d07f71.jpg

 

подключение по rdp или smb1,2 ftp,ssh и т.п.

Edited by Alex_Foks
Link to comment
Share on other sites

3 минуты назад, Alex_Foks сказал:

продублирую скрины

Благодарю. :)

4 минуты назад, Alex_Foks сказал:

подключение по rdp или smb1,2 ftp,ssh и т.п.

Цитата

2. Если после настройки VPN-туннеля не работает доступ по протоколу SMB внутри туннеля до клиентов с ОС Windows, то как правило, это вызвано тем, что на хостах включен Межсетевой экран или Брандмауэр Windows. В этом случае отключите сетевой экран в Windows и проверьте работу.
Либо выполните тонкую настройку межсетевого экрана или Брандмауэра Windows. Создайте разрешающие правила в Брандмауэре Защитника Windows для TCP/UDP-портов: UDP/137,  UDP/138, TCP/139, TCP/445.
В сетевом экране Kaspersky Internet Security необходимо разрешить доступ в локальной сети для этих же портов UDP/137,  UDP/138, TCP/139, TCP/445 и проверить уровень доступа сети для сетевого адаптера.

https://help.keenetic.com/hc/ru/articles/360012075879

Link to comment
Share on other sites

Только что, Alex_Foks сказал:

при этом на ip самого соединения всё ок.

Ибо в пределах маршрутизатора всё работает автоматически.

1 минуту назад, Alex_Foks сказал:

PS Что делать ХЗ ((

Я бы попробовал создать правила сетевого экрана с обеих сторон как в этой статье (https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN), проверив результат после перезагрузки обоих маршрутизаторов.

Link to comment
Share on other sites

2 часа назад, Alex_Foks сказал:

собственно пытаюсь соединить 2 кинетика по Wireguard, делал по мануалу из https://help.keenetic.com/hc/ru/articles/360012075879

ip адреса самого тунеля пингуються с двух сторон, а собственно сами ресурсы не пингуються 

скрины с клиента

  Показать содержимое

Screenshot_10.thumb.jpg.81980739cdeb702c180b0c104ca42ff4.jpg

 

Screenshot_3.jpg.57c967e09265da0654132ec297060dc4.jpg

Screenshot_4.thumb.jpg.75d38a0e90652e1059002a04d84d6a9e.jpg

Screenshot_5.thumb.jpg.a92cca1d187b9242dbc2974ea5b09c00.jpg

скрины с сервера

  Показать содержимое

Screenshot_6.thumb.jpg.a435b8dccedc22a5d423358efcdefd26.jpg

Screenshot_7.thumb.jpg.21e7eb320e30b8b5463c0ec96100ae8a.jpg

Screenshot_8.thumb.jpg.e0c0c73842f716005d3a6049d8d63a22.jpg

Screenshot_9.thumb.jpg.8f4877a98255f22e2dc94d7a844dca26.jpg

ЗЫ Конкурс на кол-во скринов надеюсь выиграю) 

Screenshot_2.jpg

На стороне WG - сервера в настройках пира нужно указать сеть 172.16.82.1/32

Link to comment
Share on other sites

2 часа назад, stefbarinov сказал:

На стороне WG - сервера в настройках пира нужно указать сеть 172.16.82.1/32

да это без разнице я не 1 ip разрешаю а всё подсеть 172.16.82.0/24

скрин ниже.

Скрытый текст

Screenshot_14.jpg.32b3f54cd260a63fb84f032342411b92.jpg

попробовал, переделать как у вас на скрине, не прокатило( единственное, нет возможности ребутнуть кинетик который клиент, потому как много железяк через него работает(, Ну я думаю ребут та и не нужен!

Edited by Alex_Foks
Link to comment
Share on other sites

Security-level интерфейсов wireguard ненароком руками не меняли? Какой он сейчас на обеих сторонах? 

Второй момент, смущает на вашем скрине image.thumb.png.401d8d74d69f9b833199912555e34c75.png

какая реально сеть за клиентом, точно 192.168.100.0/24? так то и 192.168.10.0/24 и 192.168.100.0/24 оба входят в 192.168.0.0/16

Edited by Werld
Link to comment
Share on other sites

А ну и, кстати, Вы на обеих сторонах в разрешенных сетях оставьте только нужные подсети. Не надо на обеих сторонах указывать и 192.168.10.0/24 и 192.168.100.0/24.

У вас на стороне клиента должны быть разрешенные сети: 172.16.82.2.32, 192.168.10.0/24

На стороне сервера разрешенные сети: 172.16.82.1.32, 192.168.100.0/24

Link to comment
Share on other sites

44 минуты назад, Werld сказал:

А ну и, кстати, Вы на обеих сторонах в разрешенных сетях оставьте только нужные подсети. Не надо на обеих сторонах указывать и 192.168.10.0/24 и 192.168.100.0/24.

У вас на стороне клиента должны быть разрешенные сети: 172.16.82.2.32, 192.168.10.0/24

На стороне сервера разрешенные сети: 172.16.82.1.32, 192.168.100.0/24

клиент 192.168.100.X

сервер 192.168.10.X

 

по поводу разрешённых подсетей согласен, но это на работу не влияет 

Edited by Alex_Foks
Link to comment
Share on other sites

В 13.11.2022 в 22:29, Werld сказал:

Security-level интерфейсов wireguard ненароком руками не меняли? Какой он сейчас на обеих сторонах? 

Второй момент, смущает на вашем скрине image.thumb.png.401d8d74d69f9b833199912555e34c75.png

какая реально сеть за клиентом, точно 192.168.100.0/24? так то и 192.168.10.0/24 и 192.168.100.0/24 оба входят в 192.168.0.0/16

Можно вопрос у вас рррое ? адрес 188.168.33.0/32 почему маска 32 на адресе сети по рррое ?

Link to comment
Share on other sites

10 часов назад, Алексей717 сказал:

Можно вопрос у вас рррое ? адрес 188.168.33.0/32 почему маска 32 на адресе сети по рррое ?

Любое ppp это точка точка т.е. на клиенте будет например 188.188.188.188/32.

А вот почему 188.168.33.0 а не например 188.168.33.22 это да.

  • Thanks 1
Link to comment
Share on other sites

11 час назад, Алексей717 сказал:

Можно вопрос у вас рррое ? адрес 188.168.33.0/32 почему маска 32 на адресе сети по рррое ?

39 минут назад, vasek00 сказал:

А вот почему 188.168.33.0 а не например 188.168.33.22 это да.

А что вас удивляет? Бесклассовая адресация была принята аж в 93 году. IP адрес оканчивающийся на 0 абсолютно легален.

https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing

https://www.rfc-editor.org/rfc/rfc1519

https://stackoverflow.com/questions/14915188/ip-address-ending-with-zero

 

The solution that the community created was to deprecate the Class
   A/B/C network address assignment system in favor of using
   "classless", hierarchical blocks of IP addresses (referred to as
   prefixes).

https://www.rfc-editor.org/rfc/rfc4632

Link to comment
Share on other sites

В 13.11.2022 в 22:29, Werld сказал:

Security-level интерфейсов wireguard ненароком руками не меняли? Какой он сейчас на обеих сторонах? 

Второй момент, смущает на вашем скрине image.thumb.png.401d8d74d69f9b833199912555e34c75.png

какая реально сеть за клиентом, точно 192.168.100.0/24? так то и 192.168.10.0/24 и 192.168.100.0/24 оба входят в 192.168.0.0/16

Добрый День ... а рррое ваше через adsl ?   а то есть 2 вопроса вы разбираетесь мож подскажите .   видео вопрос первый.

 

 

 

Edited by Алексей717
Link to comment
Share on other sites

добрый День. частично разяснили что рррое например 188.188.188.0/32 это без классовая маршрутизация CIDR ....     есть еще вопросик если /32 то провайдер все пихает в тунель ? и dns по /32 и хост по /32 и адрес сервера по /32 ? ... из за этого я не могу настроить  Wireguard  https://help.keenetic.com/hc/ru/articles/360010408000-Подключение-по-протоколу-WireGuard-VPN-из-Windows-10   все делаю по этой ссылки 

Link to comment
Share on other sites

38 минут назад, Алексей717 сказал:

Добрый День ... а рррое ваше через adsl ?   а то есть 2 вопроса вы разбираетесь мож подскажите .   видео вопрос первый.

Скрин за который вы зацепились вообще не мой. Если внимательно прочитаете тему, то увидите, что это был ответ на первый пост. 

Link to comment
Share on other sites

2 минуты назад, Werld сказал:

Скрин за который вы зацепились вообще не мой. Если внимательно прочитаете тему, то увидите, что это был ответ на первый пост. 

Скрин не ваш ... зато ответ на мой вопрос был дан вами внятно и понятно по поводу CIDR без классовой маршрутизации ...   я скинул видео ссылки подсказать сможите ?  почему комп через провайдера не находит модем ... и почему на интерфейсе isp/рррое  нет уровня L2   https://help.keenetic.com/hc/ru/articles/360010408000-Подключение-по-протоколу-WireGuard-VPN-из-Windows-10  на счет WireGuard  делаю все как в этой ссылки но не может он получить доступ к интернету ... единственное адрес указываю внешний модема . а не через kendns

Link to comment
Share on other sites

2 часа назад, Werld сказал:

А что вас удивляет? Бесклассовая адресация была принята аж в 93 году. IP адрес оканчивающийся на 0 абсолютно легален.

https://stackoverflow.com/questions/14915188/ip-address-ending-with-zero

Переводим

Скрытый текст
Цитата

IP-адрес, оканчивающийся на .0 в наши дни это совершенно законно. Однако, некоторые устройства (и политики брандмауэра) считают, что это не так.

В старой «классовой» схеме адресации IP-адреса от 192.0.0.0 до 223.255.255.255 считались пространством «класса C», т. е. они имели неявную маску подсети 255.255.255.0.

Итак, тогда у вас не могло быть .0 адрес хоста, потому что .0 был «сетевой адрес». Точно так же вы не могли иметь .255 адрес в этом диапазоне, потому что это был широковещательный адрес.

Однако около 20 лет назад все перешли на «бесклассовую» адресацию в стиле CIDR, с масками подсети переменной длины и без неявных масок подсети. Если у вас есть /23 тогда не должно быть никаких причин, по которым вы не можете использовать .255 это в конце первого /24 и .0 это в начале следующего.

Однако 5 с лишним лет назад, когда я работал в индустрии интернет-провайдеров, наша система с радостью выдавала .0 и .255 адресов конечным пользователям, но потом мы обнаружили, что они не могут получить доступ к веб-сайтам Microsoft, потому что у них либо сломан комплект, либо переусердствуют правила брандмауэра. В итоге нам пришлось исключить эти адреса, несмотря на то, что они законны.

 

https://serverfault.com/questions/451238/why-cant-all-zeros-in-the-host-portion-of-ip-address-be-used-for-a-host

А что вас удивляет?

Вы думаете все так считают.

 

 

 

  • Thanks 1
Link to comment
Share on other sites

37 минут назад, Алексей717 сказал:

 есть еще вопросик если /32 то провайдер все пихает в тунель ? и dns по /32 и хост по /32 и адрес сервера по /32 ?

Адрес сервера DNS именно host - хх.хх.хх.хх/32

Туннели

провайдер провод DHCP 
eth2.9    Link encap:Ethernet  HWaddr 50:хх:хх:хх:хх:хх 
          inet addr:10.10.10.10  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::52ff:20ff:fe6f:c0d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24307 errors:0 dropped:1 overruns:0 frame:0
          TX packets:1702 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1721612 (1.6 MiB)  TX bytes:97728 (95.4 KiB)


ezcfg0    Link encap:Ethernet  HWaddr CE:хх:хх:хх:хх:хх  
          inet addr:78.47.125.180  Bcast:78.255.255.255  Mask:255.255.255.255
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

WG где адрес сервера так же хх.хх.хх.хх/32 
nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.132.101  P-t-P:10.10.132.101  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:817480 errors:0 dropped:3 overruns:0 frame:0
          TX packets:341525 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:1030422691 (982.6 MiB)  TX bytes:45515332 (43.4 MiB)

WG где адрес сервера так же хх.хх.хх.хх/32 
nwg4      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.2.0.2  P-t-P:10.2.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:380 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1523 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:34960 (34.1 KiB)  TX bytes:93396 (91.2 KiB)

провайдер PPPoE
ppp0      Link encap:Point-to-Point Protocol  
          inet addr:1хх.ххх.ххх.хх9  P-t-P:1хх.ххх.ххх.хх1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:886378 errors:0 dropped:0 overruns:0 frame:0
          TX packets:411245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1076769499 (1.0 GiB)  TX bytes:82536484 (78.7 MiB)

 

  • Thanks 1
Link to comment
Share on other sites

21 минуту назад, vasek00 сказал:

https://serverfault.com/questions/451238/why-cant-all-zeros-in-the-host-portion-of-ip-address-be-used-for-a-host

А что вас удивляет?

Вы думаете все так считают.

Я не понял ваш посыл. Вы пытаетесь доказать, что адрес с 0 на конце не должен быть использован? Даже по вашей же ссылке: 

image.png.7d02345edde54f3d68ef807978c5acd2.png

Link to comment
Share on other sites

12 минуты назад, Werld сказал:

Я не понял ваш посыл. Вы пытаетесь доказать, что адрес с 0 на конце не должен быть использован? Даже по вашей же ссылке: 

image.png.7d02345edde54f3d68ef807978c5acd2.png

Доказывать не собираюсь.

Ответ был дан ранее

Вы думаете все так считают.

 

 

Edited by vasek00
  • Thanks 1
Link to comment
Share on other sites

2 часа назад, vasek00 сказал:

Доказывать не собираюсь.

Ответ был дан ранее

Вы думаете все так считают.

Я все равно не понимаю ваш посыл. Я думаю все считают как? Нельзя ли увидеть цитату, где я заявил: я думаю, все считают так-то и так-то.

 

2 часа назад, vasek00 сказал:

Переводим

Если вас смущает информация, что мол 5 лет назад они обнаружили, что сайт майкрософт некорректно работает если обращаться к нему с ip оканчивающегося на 0, то нужно понимать что той теме более 9 лет. 9 лет + 5, о которых они говорят и получается, что более 14 лет назад кто-то имел проблемы с сайтом майкрософт. Вам самому не смешно? Согласно rfc, адреса с 0 на конце могут использоваться и должны нормально маршрутизироваться точка! Случаи когда это у кого-то где-то когда-то не работало лишь следствия некорректной настройки сетевого оборудования. 

Link to comment
Share on other sites

59 минут назад, Werld сказал:

Вам самому не смешно? Согласно rfc, адреса с 0 на конце могут использоваться и должны нормально маршрутизироваться точка!

Случаи когда это у кого-то где-то когда-то не работало лишь следствия некорректной настройки сетевого оборудования. 

Удачи вам в таком подходе, а кому будет смешно потом посмотрим. 😁

не работало лишь следствия некорректной настройки сетевого оборудования

Почаще заглядывайте в таблицу маршрутизации, что там и как.

Edited by vasek00
  • Thanks 1
Link to comment
Share on other sites

29 минут назад, vasek00 сказал:

Почаще заглядывайте в таблицу маршрутизации, что там и как.

Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да?

Обмен пакетами с 188.168.15.0 по с 32 байтами данных:
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58

Статистика Ping для 188.168.15.0:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0

Link to comment
Share on other sites

10 минут назад, Werld сказал:

Спасибо за совет. Порекомендую вам того же, далеко, кстати говоря, ходить не надо. Вон у ТС на скринах таблицы маршрутизации как раз адреса с 0 на конце увидите. То, что этот адрес маршрутизируется наверное мне привиделось да?

Обмен пакетами с 188.168.15.0 по с 32 байтами данных:
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58
Ответ от 188.168.15.0: число байт=32 время=18мс TTL=58

Статистика Ping для 188.168.15.0:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0

Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?

image.png.fb4f67b640fb675d13d8be9fa697ae43.png

Link to comment
Share on other sites

17 минут назад, avn сказал:

Попробовал три калькулятора по ipv4, все умерли от 0-ля. Вам шашечки или ехать?

Это вопрос не ко мне а к авторам этих калькуляторов. На вашем скрине видно, что они до сих пор пишут class c, при том, что как я уже говорил, бесклассовая адресация введена в 93 году. А насчет шашечки или ехать, я привел реальный пинг до реального адреса в реальном интернете, если по вашему это не подпадает под понятие "ехать", то я даже не знаю.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...