Wireguard server

[Losteu]

Помогите пожалуйста настроить Wireguard server, имеется Keenetic Lite подключение к интернету идет через ethernet по PPPOE протоколу с динамическим (серым) IP, настроил keendns и по облаку и прямой доступ, никак не получается получить рукопожатие между устройствами, в межсетевом экране настроил в интерфейсе wg правило по IP разрешить любой IP и порт, пробовал и открыть порт 51820, и никак не получается. До этого стоял роутер на openwrt с настроенным DDNS и в нем работал Wireguard сервер без проблем. 

Также если keendns настроен на прямой доступ то не могу получить доступ к веб интерфейсу из вне сети.

 

Конфиг:

 

 

Edited June 28, 2023 by Losteu

[Denis P]

46 минут назад, Losteu сказал:

Помогите пожалуйста настроить Wireguard server, имеется Keenetic Lite подключение к интернету идет через ethernet по PPPOE протоколу с динамическим (серым) IP, настроил keendns и по облаку и прямой доступ, никак не получается получить рукопожатие между устройствами, в межсетевом экране настроил в интерфейсе wg правило по IP разрешить любой IP и порт, пробовал и открыть порт 51820, и никак не получается. До этого стоял роутер на openwrt с настроенным DDNS и в нем работал Wireguard сервер без проблем. 

Также если keendns настроен на прямой доступ то не могу получить доступ к веб интерфейсу из вне сети.

 

Конфиг:

 

 

Без белого (не обязательно статического) адреса не взлетит, вам остается только sstp

Edited June 28, 2023 by Denis P

[Losteu]

Только что, Denis P сказал:

Без белого адреса не взлетит, вам остается только sstp

На openwrt ведь работает 

[Denis P]

4 минуты назад, Losteu сказал:

На openwrt ведь работает 

Вероятно провайдер иногда выдавал вам белый адрес, ddns  не поможет "пробить" nat

[Losteu]

1 минуту назад, Denis P сказал:

Вероятно провайдер иногда выдавал вам белый адрес, ddns  не поможет "пробить" nat

Я подключил другой роутер на openwrt и работает.

 

[SySOPik]

12 часа назад, Losteu сказал:

Я подключил другой роутер на openwrt и работает.

Значит на другой роутер, видимо, по MAC адресу дается белый IP. Посмотрите на обоих роутерах Wan интерфейс чтоб удостоверится.

Через "серый адрес" не взлетит.

Edited June 29, 2023 by SySOPik

[stefbarinov]

12 часа назад, Losteu сказал:

На openwrt ведь работает

Можно попробовать MAC адрес роутера на OpenWRT назначить роутеру Keenetic Lite, если привязка по MAC у провайдера имеет место быть.

[Losteu]

39 минут назад, SySOPik сказал:

Значит на другой роутер, видимо, по MAC адресу дается белый IP. Посмотрите на обоих роутерах Wan интерфейс чтоб удостоверится.

Через "серый адрес" не взлетит.

Нет, белый IP не выдается, там у меня настроен DDNS

[Losteu]

8 минут назад, stefbarinov сказал:

Можно попробовать MAC адрес роутера на OpenWRT назначить роутеру Keenetic Lite, если привязка по MAC у провайдера имеет место быть.

Тоже не вариант. 
Провайдером выдается динамические 2 IP, один из них для внешних запросов которые не входят в пиринг провайдера, другой для входа внутри страны, как мне направить keendns именно на тот ip который используется внутри страны? 
На openwrt ddns не настраивается по ip который выдается для внешних запросов поэтому там в настройках ddns имеется галочка для убирания public ip затем ddns присваивается к тому ip который предназначен внутри страны, как это можно настроить в Keenetic ?

[SySOPik]

9 минут назад, Losteu сказал:

Нет, белый IP не выдается, там у меня настроен DDNS

DDNS тоже не работает через серый. Выложите скрин WAN с обоих роутеров.

Возможно, WG поднят на внутреннем адресе провайдера, на OpenWRT. И 2 точка подключения с другой стороны тоже внутри его сети, так вы и подключаетесь через провайдера, практически по Lan.

Edited June 29, 2023 by SySOPik

[Losteu]

10 минут назад, SySOPik сказал:

DDNS тоже не работает через серый. Выложите скрин WAN с обоих роутеров.

Возможно, WG поднят на внутреннем адресе провайдера, на OpenWRT. И 2 точка подключения с другой стороны тоже внутри его сети, так вы и подключаетесь через провайдера, практически по Lan.

Да верно, поднят он на внутреннем IP который выдается внутри страны.

приложил скрины, на openwrt спасло Allow non public IP

[SySOPik]

Ничего не понятно по фоткам, кроме того что один "серый" адрес на интерфейсе 100.64.0.0/10  CGN. А какой второй адрес? Через них WG не работает. 

А можно норм скрины с веб-интерфейса? И с вкладками маршрутов.

[Losteu]

32 минуты назад, SySOPik сказал:

Ничего не понятно по фоткам, кроме того что один "серый" адрес на интерфейсе 100.64.0.0/10  CGN. А какой второй адрес? Через них WG не работает. 

А можно норм скрины с веб-интерфейса? И с вкладками маршрутов.

Через этот 100.64 работает, другой виден во внешних сетях который не работает если поднять на нем сервер. Вопрос в другом теперь как мне привязать ddns к private ip, на openwrt это решалось таким путем uci set ddns.global.upd_privateip 1

либо через веб интерфейс ставилась галочка на allow non-public ip

[SySOPik]

Потому, что DDNS не предназначен для внутренних сетей, только для наружных реальных IP. Вы городите костыли и упорно хотите "выстрелить себе в ногу".

Если есть доступ между точками в сети провайдера, через CGN сети 100.64.0.0./10, что уже само по себе фейспалм и проблема безопасности,  защит от вирусов и ддос атак, просто сделайте подключение в клиенте на адрес сервера напрямую.  

[Losteu]

12 минуты назад, SySOPik сказал:

Потому, что DDNS не предназначен для внутренних сетей, только для наружных реальных IP. Вы городите костыли и упорно хотите "выстрелить себе в ногу".

Если есть доступ между точками в сети провайдера, через CGN сети 100.64.0.0./10, что уже само по себе фейспалм и проблема безопасности,  защит от вирусов и ддос атак, просто сделайте подключение в клиенте на адрес сервера напрямую.  

Ну если это реально работает, напрямую получается, но т.к. динамический ip постоянно меняется при перезагрузки роутера, в связи с чем и был настроен ddns на этот динамический ip. 
Я ведь не придумываю, а говорю что ddns работает реально в моем случае и на openwrt и на стоковых прошивках от tp-link, huawei, xiaomi, а не получается только на Keenetic-е это настроить, именно привязав ddns к private ip, на других это реализовалось по умолчанию не к моему внешнему ip. 
Возможно почему это работает т.к провайдеры может быть находятся в одной подсети.

Edited June 29, 2023 by Losteu

[SySOPik]

15 минут назад, Losteu сказал:

Я ведь не придумываю, а говорю что ddns работает реально в моем случае

Так оно работает исключительно, при попустительстве Вашего провайдера, который допустил дырку в безопасности, разрешив напрямую обмен между точками внутри сети, и разработчиками, что допустили навешивание DDNS на внутренний адрес. Если провайдер сделает Vlan per User и выключит обмен, то обмена не будет.

[Losteu]

20 минут назад, SySOPik сказал:

Так оно работает исключительно, при попустительстве Вашего провайдера, который допустил дырку в безопасности, разрешив напрямую обмен между точками внутри сети, и разработчиками, что допустили навешивание DDNS на внутренний адрес. Если провайдер сделает Vlan per User и выключит обмен, то обмена не будет.

Ну тем не менее, по сабжу как настроить также как и на других 

[SySOPik]

Может проще реальный адрес купить или попробовать с IPv6 поиграться, все проблемы отпадут сами собой и будет все нормально.

Edited June 29, 2023 by SySOPik

[Losteu]

Только что, SySOPik сказал:

Может проще реальный адрес купить, все проблемы отпадут сами собой и будет все нормально.

Не осуществляет пользователям провайдер. 

[SySOPik]

Я догадывался, что провайдер видимо "пионер", раз сеть так построена и нет реальных айпи. Разработчики вряд будут отключать функцию проверки keendns на реальность адреса, из-за единого кейса с "кривой" сеткой.

[Losteu]

1 минуту назад, SySOPik сказал:

Я догадывался, что провайдер видимо "пионер", раз сеть так построена и нет реальных айпи. Разработчики вряд будут отключать функцию проверки keendns на реальность адреса, из-за единого кейса с "кривой" сеткой.

Ну а если сторонним сервисом ? Не может быть такого чтобы на кинетике нельзя было изменить конфиг, по сути одно и тоже что и openwrt

[SySOPik]

Сторонний сервис покажет IP шлюза, который один на всех при серой IP.