Jump to content

Объединение двух локальных сетей через WG


Recommended Posts

Суммарно, наверное, уже месяц пытаюсь что-то сделать, но ничего не выходит.

Имеем:

  • Giga WG-Server            192.168.0.250/24 (локальный адрес), 172.16.82.1/24 (адрес в туннеле) 
  • Extra WG-Client            10.101.0.1/24 (локальный адрес), 172.16.82.11/24 (адрес в туннеле)

Нужно, чтобы всем узлам в сети 10.101.0.0/24 было видно любой узел в сети 192.168.0.0/24.

Настраивал один в один по этой инструкции, не завелось, добавлял ещё какие-то маршруты сверху, что-то менял, уже  и не вспомню что именно, не суть. 

Из сети 192.168.0.0/24 не видно вообще никого  в сети 10.101.0.0/24, видно только дальний конец туннеля (172.16.82.11). Из сети 10.101.0.0/24 прекрасно видно всю сеть 192.168.0.0/24 Что вообще может быть не так? Настройки обоих кинетиков прилагаю

Цитата

WG-Server 192.168.0.250/24         172.16.82.1./24

image.png.a573bb901b4be028fffaa60c5488e0e4.png

image.thumb.png.84c9ee115d78da6fe39e1cb51cdac674.png

image.thumb.png.d96e387ac6efb4c2aa1fd99f85676612.png

Цитата

WG-Client 10.101.0.1/24                   172.16.82.11/24image.png.06bffdf8b4c02b5e4de6619d03caca37.pngimage.thumb.png.1b214a9618cafcdc40c95be76a22c29a.pngimage.thumb.png.dbee0b3c4550a6f7cc4d8c944062a821.png

Цитата

 

Трассировки от ПК  из сети 192.168.0.0/24

image.png.3eb782519461b20d4bf34357c2f907cd.png

 

Цитата

 

Трассировки от  Keenetic Extra 10.101.0.1

image.png.413989d5e0265f7a34a207dedafdce54.png

 

 

Link to comment
Share on other sites

18 минут назад, stefbarinov сказал:

МСЭ - разрешить для WG протокол IP с двух сторон 

Вторые скриншоты в параметрах кинетиков сделаны в межсетевом экране в интерфейсе WG

Link to comment
Share on other sites

1 час назад, a 2 сказал:

Вторые скриншоты в параметрах кинетиков сделаны в межсетевом экране в интерфейсе WG

Плохо видно с тел, просмотрел) тогда не хватает в настройках пира сети wg/32

  • Thanks 1
Link to comment
Share on other sites

14 часа назад, stefbarinov сказал:

Плохо видно с тел, просмотрел) тогда не хватает в настройках пира сети wg/32

Если речь о том, чтобы в интерфейсе сервера в разрешённые сети поставить дальний конец туннеля (172.16.82.11/32), то ставил, ничего не меняется. В данный момент там же стоит более широкая сеть 172.16.82.0/24

image.png.517c9704206a4d0bb40aa1779a4617f8.png

Link to comment
Share on other sites

Покажите лучше настройки из конф файла

Скрытый текст

Пример

Cервер

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description E-PKN
    auto-delete


interface Wireguard0
    description Serv_E
    security-level public
    ip address 10.16.131.1 255.255.255.0 ***** Адрес туннеля сервера
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer zGZ5............Q00= !Pkn-E
        allow-ips 10.16.131.101 255.255.255.255 **** Адрес др.конца туннеля клиента
        allow-ips 192.168.130.0 255.255.255.0 **** Адрес уд.сети клиента
    !
    wireguard peer Ufc9............6jA= !a7-e
        allow-ips 10.16.131.0 255.255.255.0
    !

ip route 192.168.130.0 255.255.255.0 Wireguard0 !PKN **** Ст.маршрут уд.сети клиента

Клиент

access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-e
    auto-delete

interface Wireguard2
    description Client_E
    security-level public
    ip address 10.16.131.101 255.255.255.0 *** Адрес туннеля клиента
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer fxr......xBo= !E-PKN
        endpoint ххх.ххх.ххх.226:6ххх1
        keepalive-interval 30
        allow-ips 10.16.131.1 255.255.255.255 **** Адрес сервера WG туннеля
        allow-ips 192.168.1.0 255.255.255.0 *** Удаленная сеть сервера

ip route 192.168.1.0 255.255.255.0 Wireguard2 auto !E-Lan *** Стат. маршрут до уд.сети сервера

 

 

  • Upvote 1
Link to comment
Share on other sites

42 минуты назад, vasek00 сказал:

Покажите лучше настройки из конф файла

  Показать содержимое

Пример

Cервер

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description E-PKN
    auto-delete


interface Wireguard0
    description Serv_E
    security-level public
    ip address 10.16.131.1 255.255.255.0 ***** Адрес туннеля сервера
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer zGZ5............Q00= !Pkn-E
        allow-ips 10.16.131.101 255.255.255.255 **** Адрес др.конца туннеля клиента
        allow-ips 192.168.130.0 255.255.255.0 **** Адрес уд.сети клиента
    !
    wireguard peer Ufc9............6jA= !a7-e
        allow-ips 10.16.131.0 255.255.255.0
    !

ip route 192.168.130.0 255.255.255.0 Wireguard0 !PKN **** Ст.маршрут уд.сети клиента

Клиент

access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-e
    auto-delete

interface Wireguard2
    description Client_E
    security-level public
    ip address 10.16.131.101 255.255.255.0 *** Адрес туннеля клиента
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer fxr......xBo= !E-PKN
        endpoint ххх.ххх.ххх.226:6ххх1
        keepalive-interval 30
        allow-ips 10.16.131.1 255.255.255.255 **** Адрес сервера WG туннеля
        allow-ips 192.168.1.0 255.255.255.0 *** Удаленная сеть сервера

ip route 192.168.1.0 255.255.255.0 Wireguard2 auto !E-Lan *** Стат. маршрут до уд.сети сервера

Огромное спасибо, по вашему примеру настроил и заработало! Изначально вроде было так же, потом экспериментировал и наделал непонятно что. Сейчас конфигурации такие. Всё работает, спасибо ещё раз

WG-S Keenetic Giga 192.168.0.250 (172.16.82.1)

Скрытый текст

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

interface Wireguard0
    description WG-S
    security-level public
    ip address 172.16.82.1 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 2***2

    wireguard peer O********************************************= !Yantarniy
        allow-ips 172.16.82.11 255.255.255.255
        allow-ips 10.101.0.0 255.255.255.0
    up

ip route 10.101.0.0 255.255.255.0 Wireguard0 auto !Yantarniy

Yantarniy Keenetic Extra 10.101.0.1 (172.16.82.11)

Скрытый текст

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
 
interface Wireguard0
    description Yantarniy
    security-level public
    ip address 172.16.82.11 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 2***2
    wireguard peer O********************************************= !WG-S
        endpoint ***.***.***.***:2***2
        keepalive-interval 15
        allow-ips 172.16.82.1 255.255.255.255
        allow-ips 192.168.0.0 255.255.255.0
    up

ip route 192.168.0.0 255.255.255.0 Wireguard0 auto

 

Edited by a 2
Link to comment
Share on other sites

34 минуты назад, Alexey Lyahkov сказал:

а почему не положить поверх WG обычный ip-ip / gre / eth over ip / ... etc тунель?

пусть wg отвечает за шифрование точка - точка и вообще о сетях не знает?

А зачем что-то поверех тогда если есть возможность сразу

 

Цитата

Компонент IPsec добавляет следующие настройки к туннелям:

interface ipsec preshared-key <key> - PSK для шифрования

interface ipsec encryption-level <level> - уровень шифрования, по умолчанию задан таким, чтобы охватывал максимально большое число устройств и ускорялся аппаратно. Можно не менять.

Пример настройки EoIP туннеля с IPsec, где сторона с WAN-адресом 8.6.5.4 является сервером:

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Во всех случаях важно, чтобы IPsec PSK совпадал на обоих концах соединения.

Известные ограничения:

- туннели на базе EoIP/IPsec и GRE/IPsec принципиально несовместимы с PPTP-подключениями из-за использования одного и того же протокола GRE. В этом случае остается использовать всего лишь один доступный вариант: IPIP/IPsec.

Важно:

- не забывайте про isolate-private:

 

Link to comment
Share on other sites

Раздельно работает с любой частью на другой стороне (в моем случае это микротик или линукс) - а "вместе" - работает только между кинетиками.

"Вместе" не поддерживает авторизацию по fqdn - когда с другой стороны динамический адрес, нужны статические адреса. Вот ipsec сам по себе дает статические адреса на обоих сторонах - а тунель позволяет не заморачиваться с кучей политик если у тебя на обоих сторонах более чем одна сеть (нужна политика только для сети (или двух адресов с /32) которая(ые) обслуживают ipsec трафик.
Это основные причины. Есть еще куча дополнительных типа удобства в отладке - установки нужных мне алгоритмов шифрования и тп. 

Раздельно - позволяет достаточно легко менять транспорт для шифрования - будь то ipsec, буть то openvpn, будть то WireGuard, или openconnect server. Раздельно позволит на стороне сервера - использовать продвинутую авторизацию (да хоть тот же радиус) и тп.

Вот такие причины делать все раздельно, а не пытаться использовать комбайн.

Edited by Alexey Lyahkov
  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...

Подскажите, как в этой схеме сделать так, чтобы на один из внешних ip адресов трафик шел не через локальный кинетик, а через удаленный?

Чтобы пользоваться ресурсами одного провайдера из сети второго кинетика, подключенному к другому провайдеру

Edited by Siti
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...