Объединение двух локальных сетей через WG

[a 2]

Суммарно, наверное, уже месяц пытаюсь что-то сделать, но ничего не выходит.

Имеем:

• Giga WG-Server            192.168.0.250/24 (локальный адрес), 172.16.82.1/24 (адрес в туннеле) 
• Extra WG-Client            10.101.0.1/24 (локальный адрес), 172.16.82.11/24 (адрес в туннеле)

Нужно, чтобы всем узлам в сети 10.101.0.0/24 было видно любой узел в сети 192.168.0.0/24.

Настраивал один в один по этой инструкции, не завелось, добавлял ещё какие-то маршруты сверху, что-то менял, уже  и не вспомню что именно, не суть. 

Из сети 192.168.0.0/24 не видно вообще никого  в сети 10.101.0.0/24, видно только дальний конец туннеля (172.16.82.11). Из сети 10.101.0.0/24 прекрасно видно всю сеть 192.168.0.0/24 Что вообще может быть не так? Настройки обоих кинетиков прилагаю

Цитата

WG-Server 192.168.0.250/24         172.16.82.1./24

Цитата

WG-Client 10.101.0.1/24                   172.16.82.11/24

Цитата

 

Трассировки от ПК  из сети 192.168.0.0/24

 

Цитата

 

Трассировки от  Keenetic Extra 10.101.0.1

 

 

[stefbarinov]

МСЭ - разрешить для WG протокол IP с двух сторон 

[a 2]

18 минут назад, stefbarinov сказал:

МСЭ - разрешить для WG протокол IP с двух сторон 

Вторые скриншоты в параметрах кинетиков сделаны в межсетевом экране в интерфейсе WG

[stefbarinov]

1 час назад, a 2 сказал:

Вторые скриншоты в параметрах кинетиков сделаны в межсетевом экране в интерфейсе WG

Плохо видно с тел, просмотрел) тогда не хватает в настройках пира сети wg/32

[a 2]

14 часа назад, stefbarinov сказал:

Плохо видно с тел, просмотрел) тогда не хватает в настройках пира сети wg/32

Если речь о том, чтобы в интерфейсе сервера в разрешённые сети поставить дальний конец туннеля (172.16.82.11/32), то ставил, ничего не меняется. В данный момент там же стоит более широкая сеть 172.16.82.0/24

[vasek00]

Покажите лучше настройки из конф файла

Скрытый текст

Пример

Cервер

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description E-PKN
    auto-delete


interface Wireguard0
    description Serv_E
    security-level public
    ip address 10.16.131.1 255.255.255.0 ***** Адрес туннеля сервера
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer zGZ5............Q00= !Pkn-E
        allow-ips 10.16.131.101 255.255.255.255 **** Адрес др.конца туннеля клиента
        allow-ips 192.168.130.0 255.255.255.0 **** Адрес уд.сети клиента
    !
    wireguard peer Ufc9............6jA= !a7-e
        allow-ips 10.16.131.0 255.255.255.0
    !

ip route 192.168.130.0 255.255.255.0 Wireguard0 !PKN **** Ст.маршрут уд.сети клиента

Клиент

access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-e
    auto-delete

interface Wireguard2
    description Client_E
    security-level public
    ip address 10.16.131.101 255.255.255.0 *** Адрес туннеля клиента
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer fxr......xBo= !E-PKN
        endpoint ххх.ххх.ххх.226:6ххх1
        keepalive-interval 30
        allow-ips 10.16.131.1 255.255.255.255 **** Адрес сервера WG туннеля
        allow-ips 192.168.1.0 255.255.255.0 *** Удаленная сеть сервера

ip route 192.168.1.0 255.255.255.0 Wireguard2 auto !E-Lan *** Стат. маршрут до уд.сети сервера

 

 

[Alexey Lyahkov]

а почему не положить поверх WG обычный ip-ip / gre / eth over ip / ... etc тунель?

пусть wg отвечает за шифрование точка - точка и вообще о сетях не знает?

[a 2]

42 минуты назад, vasek00 сказал:

Покажите лучше настройки из конф файла

  Показать содержимое

Пример

Cервер

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description E-PKN
    auto-delete


interface Wireguard0
    description Serv_E
    security-level public
    ip address 10.16.131.1 255.255.255.0 ***** Адрес туннеля сервера
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer zGZ5............Q00= !Pkn-E
        allow-ips 10.16.131.101 255.255.255.255 **** Адрес др.конца туннеля клиента
        allow-ips 192.168.130.0 255.255.255.0 **** Адрес уд.сети клиента
    !
    wireguard peer Ufc9............6jA= !a7-e
        allow-ips 10.16.131.0 255.255.255.0
    !

ip route 192.168.130.0 255.255.255.0 Wireguard0 !PKN **** Ст.маршрут уд.сети клиента

Клиент

access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-e
    auto-delete

interface Wireguard2
    description Client_E
    security-level public
    ip address 10.16.131.101 255.255.255.0 *** Адрес туннеля клиента
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 6xxx1
    wireguard peer fxr......xBo= !E-PKN
        endpoint ххх.ххх.ххх.226:6ххх1
        keepalive-interval 30
        allow-ips 10.16.131.1 255.255.255.255 **** Адрес сервера WG туннеля
        allow-ips 192.168.1.0 255.255.255.0 *** Удаленная сеть сервера

ip route 192.168.1.0 255.255.255.0 Wireguard2 auto !E-Lan *** Стат. маршрут до уд.сети сервера

Огромное спасибо, по вашему примеру настроил и заработало! Изначально вроде было так же, потом экспериментировал и наделал непонятно что. Сейчас конфигурации такие. Всё работает, спасибо ещё раз

WG-S Keenetic Giga 192.168.0.250 (172.16.82.1)

Скрытый текст

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

interface Wireguard0
    description WG-S
    security-level public
    ip address 172.16.82.1 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 2***2

    wireguard peer O********************************************= !Yantarniy
        allow-ips 172.16.82.11 255.255.255.255
        allow-ips 10.101.0.0 255.255.255.0
    up

ip route 10.101.0.0 255.255.255.0 Wireguard0 auto !Yantarniy

Yantarniy Keenetic Extra 10.101.0.1 (172.16.82.11)

Скрытый текст

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
 
interface Wireguard0
    description Yantarniy
    security-level public
    ip address 172.16.82.11 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 2***2
    wireguard peer O********************************************= !WG-S
        endpoint ***.***.***.***:2***2
        keepalive-interval 15
        allow-ips 172.16.82.1 255.255.255.255
        allow-ips 192.168.0.0 255.255.255.0
    up

ip route 192.168.0.0 255.255.255.0 Wireguard0 auto

 

Edited December 14, 2022 by a 2

[vasek00]

34 минуты назад, Alexey Lyahkov сказал:

а почему не положить поверх WG обычный ip-ip / gre / eth over ip / ... etc тунель?

пусть wg отвечает за шифрование точка - точка и вообще о сетях не знает?

А зачем что-то поверех тогда если есть возможность сразу

 

Цитата

Компонент IPsec добавляет следующие настройки к туннелям:

interface ipsec preshared-key <key> - PSK для шифрования

interface ipsec encryption-level <level> - уровень шифрования, по умолчанию задан таким, чтобы охватывал максимально большое число устройств и ускорялся аппаратно. Можно не менять.

Пример настройки EoIP туннеля с IPsec, где сторона с WAN-адресом 8.6.5.4 является сервером:

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Во всех случаях важно, чтобы IPsec PSK совпадал на обоих концах соединения.

Известные ограничения:

- туннели на базе EoIP/IPsec и GRE/IPsec принципиально несовместимы с PPTP-подключениями из-за использования одного и того же протокола GRE. В этом случае остается использовать всего лишь один доступный вариант: IPIP/IPsec.

Важно:

- не забывайте про isolate-private:

 

[Alexey Lyahkov]

Раздельно работает с любой частью на другой стороне (в моем случае это микротик или линукс) - а "вместе" - работает только между кинетиками.

"Вместе" не поддерживает авторизацию по fqdn - когда с другой стороны динамический адрес, нужны статические адреса. Вот ipsec сам по себе дает статические адреса на обоих сторонах - а тунель позволяет не заморачиваться с кучей политик если у тебя на обоих сторонах более чем одна сеть (нужна политика только для сети (или двух адресов с /32) которая(ые) обслуживают ipsec трафик.
Это основные причины. Есть еще куча дополнительных типа удобства в отладке - установки нужных мне алгоритмов шифрования и тп. 

Раздельно - позволяет достаточно легко менять транспорт для шифрования - будь то ipsec, буть то openvpn, будть то WireGuard, или openconnect server. Раздельно позволит на стороне сервера - использовать продвинутую авторизацию (да хоть тот же радиус) и тп.

Вот такие причины делать все раздельно, а не пытаться использовать комбайн.

Edited December 15, 2022 by Alexey Lyahkov

[Siti]

Подскажите, как в этой схеме сделать так, чтобы на один из внешних ip адресов трафик шел не через локальный кинетик, а через удаленный?

Чтобы пользоваться ресурсами одного провайдера из сети второго кинетика, подключенному к другому провайдеру

Edited December 29, 2022 by Siti