2 кинетика по Wireguard

[vasek00]

1 час назад, Werld сказал:

Так получается наоборот, это вы продолжаете жить 93 годом, если отрицаете изменения произошедшие с тех пор. 

В общем-то продолжайте оставаться при своем мнении, если вам rfc не указ. Можете и дальше удивляться, когда еще у кого-нибудь увидите такие ip-адреса, как у создателя темы.

Я в rfc не заглядываю, мне как пользователю нужно чтоб работало.

Я живу в том что вижу сейчас (показал это выше на нескольких примерах).

 

Для создателя темы могу сказать что есть в наличие два Keenetic соединенные между собой по WG, для доступа клиентов в удаленную сеть. Keenetic1 на проводе DHCP от провайдера второй Keenetic2 на PPPoE.

Не чего навороченного нет все стыкуется с мануалом https://help.keenetic.com/hc/ru/articles/360012075879

Скрытый текст

Keenetic 1

/ # ip ro
...
10.16.131.0/24 dev nwg0 scope link  src 10.16.131.1 
...
192.168.1.0/24 dev br0 scope link  src 192.168.1.1 
192.168.130.0/24 dev nwg0 scope link 

/ # ifconfig
...
nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.131.1  P-t-P:10.16.131.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:48 errors:0 dropped:9 overruns:0 frame:0
          TX packets:35 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:4272 (4.1 KiB)  TX bytes:4896 (4.7 KiB)
...
/ # 

Цитата

Keenetic 2

~ # ip ro
default dev ppp0  scope link
....

10.16.131.0/24 dev nwg2  proto kernel  scope link  src 10.16.131.101
...

IP_SERVER_WG dev ppp0  scope link
...

192.168.1.0/24 dev nwg2  scope link
192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.101

 

~ # ifconfig

....

nwg2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.131.101  P-t-P:10.16.131.101  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:37 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:5080 (4.9 KiB)  TX bytes:5912 (5.7 KiB)

...

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:1хх.ххх.ххх.хх9  P-t-P:1хх.ххх.ххх.хх1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:2976971 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1434479 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3849936617 (3.5 GiB)  TX bytes:272978827 (260.3 MiB)

...

~ #

Скрытый текст

Клиент в сети роутера Keenetic 2

Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  P-KN [192.168.130.101] 
  2    53 ms    38 ms    37 ms  10.16.131.1 
  3    53 ms    46 ms    53 ms  192.168.1.201 

Трассировка завершена.
                            

Обмен пакетами с 192.168.1.201 по с 32 байтами данных:
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62

Статистика Ping для 192.168.1.201:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 37мсек, Максимальное = 37 мсек, Среднее = 37 мсек

 

 

 

 

[Алексей717]

4 часа назад, vasek00 сказал:

Клиент SSTP роутера на Android

  Показать содержимое

На роутере

sstp0     Link encap:Point-to-Point Protocol  
          inet addr:192.168.130.101  P-t-P:172.16.130.29  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1350  Metric:1
          RX packets:153 errors:0 dropped:0 overruns:0 frame:0
          TX packets:133 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:18507 (18.0 KiB)  TX bytes:58947 (57.5 KiB)

 

ppp туннель где роутер 192.168.130.101  и клиент 172.16.130.29  Mask:255.255.255.255

  Показать содержимое

rmnet_data0 Link encap:UNSPEC  
          inet addr:192.....2  Mask:255.255.255.224 
          inet6 addr: 2a00:..........:6e94/64 Scope: Global
          UP RUNNING  MTU:1500  Metric:1
          RX packets:34991 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:37631 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:39238313 TX bytes:6837364 

rmnet_ipa0 Link encap:UNSPEC  
          UP RUNNING  MTU:9216  Metric:1
          RX packets:24247 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:44194 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:1636250 TX bytes:7598075 

tun0      Link encap:UNSPEC  
          inet addr:172.16.130.29  P-t-P:172.16.130.29  Mask:255.255.255.255 
          inet6 addr: fe80::.......6dc0/64 Scope: Link
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:411 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:479 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:500 
          RX bytes:182417 TX bytes:97406 

dummy0    Link encap:UNSPEC  
          inet6 addr: fe80:........:9f3d/64 Scope: Link
          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:130 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:0 TX bytes:15451 

lo        Link encap:UNSPEC  
          inet addr:127.0.0.1  Mask:255.0.0.0 
          inet6 addr: ::1/128 Scope: Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:6694 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:6694 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:413683 TX bytes:413683




/system/bin/ip route show table 0


....
172.16.130.29 dev tun0 table 1040 proto static scope link 
....
172.16.130.29 dev tun0 table 1000000040 proto static scope link 
...
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 
local 172.16.130.29 dev tun0 table local proto kernel scope host src 172.16.130.29 
....

 

На Win у меня нет клиента, но будет так же так как сервер SSTP на роутере.

 

Другой пример WG на роутере (сервер) и на Android

  Показать содержимое

tun0      Link encap:UNSPEC  
          inet addr:10.16.130.6  P-t-P:10.16.130.6  Mask:255.255.255.255 
          inet6 addr: fe80:........:f2fd/64 Scope: Link
          UP POINTOPOINT RUNNING  MTU:1280  Metric:1
          RX packets:42983 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:5288 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:500 
          RX bytes:54713693 TX bytes:430805 

....
default dev tun0 table 1041 proto static scope link 
10.16.130.0/24 dev tun0 table 1041 proto static scope link 
10.16.130.6 dev tun0 table 1041 proto static scope link 
192.168.130.0/24 dev tun0 table 1041 proto static scope link 
....

где ip клиента 10.16.130.6 и роутера 10.16.130.6, сеть роутера 192.168.130.0/24

 

Добрый день у меня вот так происходит иногда windows на котором клиент получает ip 172.16.3.34  а иногда такой же как и на сервере начальный 172.16.3.33  ... по поводу WG у меня не хватает мозгов настроить его он не имеет доступ в интернет не в какую. на счет sstp варшарк показывает ошибку типо весит все это подключения на  групповом Мак адресе скрины прилогаются. 

[vasek00]

1 час назад, Алексей717 сказал:

Добрый день у меня вот так происходит иногда windows на котором клиент получает ip 172.16.3.34  а иногда такой же как и на сервере начальный 172.16.3.33  ... по поводу WG у меня не хватает мозгов настроить его он не имеет доступ в интернет не в какую.

Если исходить из скринов первого поста, то WG у вас поднимается, осталось только allow и маршрутизация. 

WG-S

1.  =  172.16.82.2/24 порт 16632 ; allow-ips = 172.16.82.0/24 | 192.168.10.0/24 | 192.168.100.0/24 ;

2. Маршруты

192.168.100.0/24 -> WG-S интерфейс
192.168.10.0/24 -> Домашний интерфейс

WG-CL1

1.  =  172.16.82.1/24 ; allow-ips = 172.16.82.0/24 | 192.168.10.0/24 | 192.168.100.0/24 ;

2. Маршруты
 

192.168.0.0/16 -> Домашний интерфейс
192.168.10.0/24 -> WG-CL1 интерфейс

 

Примечание в allow-ips вписывают сети - туннеля и удаленную сеть роутера, сеть лок.роутера не пишут. Если нужен еще доступ из уд.сети клиента в интернет то добавить сеть 0.0.0.0/0

Второе

192.168.0.0/16 -> Домашний интерфейс

Вам вопрос - на какой сетевой интерфейс направить пакеты для адресата например 192.168.10.х на "WG-CL1" или на "Домашний интерфейс" согласно порядка вашей таблицы которая выше на скрине или

192.168.0.0/16 -> Домашний интерфейс
192.168.10.0/24 -> WG-CL1 интерфейс

 

Для того чтоб клиент WG выходил еще в интернет то там нужно сделать еще кой чего

1. allow например ниже

allow-ips 10.16.130.6 255.255.255.255 -- туннель WG, данного клиента
allow-ips 192.168.130.0 255.255.255.0 -- сеть данного роутера (сервер WG для клиента)
allow-ips 0.0.0.0 0.0.0.0 -------------- для выхода в интернет

2. сменить политику с public (которая по умолчанию) на private

interface Wireguard3 -------- сам туннель WG
    security-level private

3.

ip nat Wireguard3

4. Записать конфиг.

 

По SSTP чуток не понял суть вопроса ?

Настройка на нем простая.

Скрытый текст

По вашему скрину на клиенте два default маршрута 0/0 на разные интерфейсы -> вступает правило МЕТРИКИ (чем меньше метрика то считаем его основным)

Лог Android клиента при подключение, на сервере SSTP (скрин выше)

Скрытый текст

2:48:58 PM The interstitial ad failed to load. 
Unable to obtain a JavascriptEngine.
2:48:51 PM VPN Established. default
2:48:51 PM excluded ipv4 route: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 
2:48:51 PM included ipv4 route: 0.0.0.0/0 172.16.130.101/20 
2:48:51 PM ignored multi-cast ipv4 route: 224.0.0.0/3
2:48:51 PM dns ipv4 2: 8.8.4.4
2:48:51 PM dns ipv4 1: 8.8.8.8
2:48:48 PM The interstitial ad failed to load. 
Unable to obtain a JavascriptEngine.
2:48:48 PM The rewarded ad failed to load. 
Unable to obtain a JavascriptEngine.
2:48:42 PM Supported protocols:
  TLSv1 
  TLSv1.1
  TLSv1.2
  TLSv1.3
Enabled protocols:
  TLSv1
  TLSv1.1
  TLSv1.2
  TLSv1.3
Using protocol: TLSv1.3
Using cipher : TLS_CHACHA20_POLY1305_SHA256
Using peer principal : CN=хххххххххххххххххх.keenetic.pro
2:48:42 PM Handshake Completed
2:48:42 PM Client is initialized.
2:48:40 PM Connecting...
2:48:39 PM The service is running in foreground.
2:48:39 PM VPN is prepared.
2:48:39 PM starting..
2:48:37 PM GmsCore_OpenSSL Provider is up-to-date, app can make secure network calls.
2:48:37 PM Config is compatible.
2:48:37 PM Warning: config is obsolete.
2:48:37 PM Checking config...

 

проверяю клиента на speedtest он идет на провайдера роутера в данном случае РТ (IP роутера) а не от мобильного оператора.

Пока смотрел свой скрин не понятка в строке для маршрута по умолчанию а именно в MASK /20

2:48:51 PM included ipv4 route: 0.0.0.0/0 172.16.130.101/20

 

Edited November 18, 2022 by vasek00

[M V]

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента?

Туннель настроен, маршруты прописаны. Кинетик знает о подсети А, трафик между А и В ходит без проблем через туннель.

Нужно, чтобы А могла ходить в интернет через WG и кинетик. Нат на WG интерфейсе разрешен и клиенты могут ходить в интернет без проблем с адресов сети WG, но вот из сети A кинетик не НАТит траффик. Трейс из А затыкается на кинетике на адресе WG.

Помню на старых Падавановских прошивках НАТ по-умолчанию разрешен был только для Directly Connected сетей, но можно было просто руками добавить правило iptables через gui. Как здесь сделать то же самое?

Edited November 18, 2022 by M V

[Werld]

7 минут назад, M V сказал:

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента?

Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель.

[M V]

29 minutes ago, Werld said:

Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель.

Супер! Спасибо за оперативную помощь! "ip nat IP MASK" сработало. Трафик пошел.

[M V]

В продолжение темы..

Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0.

Edited December 21, 2022 by M V

[r13]

5 минут назад, M V сказал:

В продолжение темы..

Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0.

Ответ тут

https://forum.keenetic.com/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=135763

[M V]

35 minutes ago, r13 said:

Ответ тут

https://forum.keenetic.com/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=135763

Офигенно! Огромное спасибо! Все работает как надо теперь.
Я еще нигде так быстро не получал ответы, как здесь!

п.с. Команды в ndmc, конечно, вообще не интуитивные. Я думал, что ip static - это про статические маршруты, а не про NAT. Было бы логичней что-то типа ip nat static.. Ну да ладно. Главное, что работает!

[Андрэ Палыч]

а что это за ошибка такая при попытке пингануть один роутер с другого?

An I/O error occurred: required key not available.

Соединение поднялось, с обеих сторон горит зеленым. Маршруты прописаны, в фаерволе IP открыт (в общем все по инструкции да и не в первый раз да и пересоздавал).

[Алексей717]

В 13.11.2022 в 16:09, ANDYBOND сказал:

Скажите, это сделано?

И что есть ресурсы?

 

В 17.11.2022 в 16:16, vasek00 сказал:

Адрес сервера DNS именно host - хх.хх.хх.хх/32

Туннели

провайдер провод DHCP 
eth2.9    Link encap:Ethernet  HWaddr 50:хх:хх:хх:хх:хх 
          inet addr:10.10.10.10  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::52ff:20ff:fe6f:c0d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24307 errors:0 dropped:1 overruns:0 frame:0
          TX packets:1702 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1721612 (1.6 MiB)  TX bytes:97728 (95.4 KiB)


ezcfg0    Link encap:Ethernet  HWaddr CE:хх:хх:хх:хх:хх  
          inet addr:78.47.125.180  Bcast:78.255.255.255  Mask:255.255.255.255
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

WG где адрес сервера так же хх.хх.хх.хх/32 
nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.132.101  P-t-P:10.10.132.101  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:817480 errors:0 dropped:3 overruns:0 frame:0
          TX packets:341525 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:1030422691 (982.6 MiB)  TX bytes:45515332 (43.4 MiB)

WG где адрес сервера так же хх.хх.хх.хх/32 
nwg4      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.2.0.2  P-t-P:10.2.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:380 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1523 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:34960 (34.1 KiB)  TX bytes:93396 (91.2 KiB)

провайдер PPPoE
ppp0      Link encap:Point-to-Point Protocol  
          inet addr:1хх.ххх.ххх.хх9  P-t-P:1хх.ххх.ххх.хх1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:886378 errors:0 dropped:0 overruns:0 frame:0
          TX packets:411245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1076769499 (1.0 GiB)  TX bytes:82536484 (78.7 MiB)

 

можно ли как то решить этот вопрос чтобы клиенты подключеные к sstp были в сети роутера ?