Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Попасть в сеть за WAN портом через Wireguard

Oblomov Danny
 Share

Recommended Posts

Oblomov Danny Newbie

Oblomov Danny

Posted
Posted

Товарищи, надеюсь на помощь, т.к. пока только учусь). Два Keenetica. Схему прилагаю

Как с роутера №1 (сервер wireguard) попасть в сеть 10.112.0.0/24 за LAN1 (WAN2) портом роутера №2 (клиент wireguard)?

С роутера №2 без проблем есть доступ и в 10.112.0.0/24 и в 10.138.100.0/24. Пока только есть пинг с роутера №1 до 10.112.0.131, но остальная сеть, которая за LAN1 (WAN2) недоступна. Ко внутренним сеткам 192.168.хх.0/24 с доступом все нормально. Может быть есть еще какие-то варианты решения данной задачи без WAN2... 

 

Схема SeOS.jpeg

Link to comment
Share on other sites
stefbarinov Honored Flooder

stefbarinov

Posted
Posted (edited)
5 минут назад, Monstr86 сказал:

Статический маршрут на роутере №1 не решит вопрос?

У Вас должно быть на двух роутерах в МСЭ  для соединения WG прописано разрешающее правило для протокола IP

Скрытый текст

image.png.67821dcce4a96ad5ccd27b189c23d392.png

 

Edited by stefbarinov
Link to comment
Share on other sites
Oblomov Danny Newbie

Oblomov Danny

Posted
  • Author
Posted
20 минут назад, stefbarinov сказал:

У Вас должно быть на двух роутерах в МСЭ  для соединения WG прописано разрешающее правило для протокола IP

  Скрыть содержимое

image.png.67821dcce4a96ad5ccd27b189c23d392.png

 

да, прописал изначально это в мсэ.

все вроде бы хорошо и с маршрутами.

Но с роутера №1 tracert до 10.112.0.40 останавливается на 172.16.82.3 (шлюз wireguard на роутере №2). Хотя, как уже говорил, 10.112.0.131 пингую.
Попробовал другую схему без второго WAN2: Назначил роутеру №2 ip address 10.112.0.131 (из сети куда нужно попасть), отключил dhcp - на роутере №2 все работает, в 10.112.0.0/24 попадаю. С роутера №1 опять же через vpn только до 10.112.0.131. Роутер №2 устройства видит в списке, которые подключены к lan1

Уст-ва.jpg

Link to comment
Share on other sites
Oblomov Danny Newbie

Oblomov Danny

Posted
  • Author
Posted
36 минут назад, Monstr86 сказал:

Статический маршрут на роутере №1 не решит вопрос?

ip route 10.112.0.0 mask 255.255.255.0 keneneic№2

Такой маршрут есть на роутере 2 , т.к. эта сеть должна ходить через шлюз vpn на роутер 1. В разрешенных сетях в пире на роутере 1 она тоже есть.

Зачем этот маршрут на роутере 1?

 

Link to comment
Share on other sites
Oblomov Danny Newbie

Oblomov Danny

Posted
  • Author
Posted
1 минуту назад, stefbarinov сказал:

Покажите какие сети разрешены в настройках сервера и пира WG

На сервере в настройке 172.16.82.1/24 (это шлюз получается), на клиенте 172.16.82.3\24. В пире на сервере соответственно разрешены 172.16.82.0, 10.112.0.0, 10.138.100.0, 192.168.2.0 все с 24й маской.

Link to comment
Share on other sites
stefbarinov Honored Flooder

stefbarinov

Posted
Posted (edited)
9 минут назад, Oblomov Danny сказал:

 на клиенте 172.16.82.3\24

Должен быть с маской /32. А разрешенные сети с маской /24

Скрытый текст

image.thumb.png.6f32a7937abd43f3b4b6c3a4bfb02fc6.png

 

Edited by stefbarinov
Link to comment
Share on other sites
Oblomov Danny Newbie

Oblomov Danny

Posted
  • Author
Posted
6 минут назад, stefbarinov сказал:

Должны быть с маской /32. А разрешенные сети с маской /24

Странно, вроде бы делал по инструкции с сайта keenetic. Это разве может влиять? Так то схема рабочая, единственное вот в сетку не попадаю за LAN1... А так если сам беру IP свободный из сети 10.112.0.0 (на ПК например) - с роутера 1 пингую его. Не знаю как сеть организована за LAN1, может быть там какое-то активное оборудование на котором нужен маршрут типо за 10.112.0.131 живет 172.16.0.0 ? Хоти я на кабель который сейчас в LAN 1 без проблем встаешь любым устройством, прописываешь свободный ip и вся сеть 10.112.0.0/24 пингуется\видна.

п.с. поменяю маску как говорите тогда отпишу

Link to comment
Share on other sites
Oblomov Danny Newbie

Oblomov Danny

Posted
  • Author
Posted
4 минуты назад, stefbarinov сказал:

Пинг и трассировку делаете с ПК или с роутера?

с роутеров. Поправка, у меня еще есть wg клиенты, поэтому, настройки серв и клиента с маской /32 актуально когда только 2 устройства правильно?

Link to comment
Share on other sites
stefbarinov Honored Flooder

stefbarinov

Posted
Posted
2 минуты назад, Oblomov Danny сказал:

настройки серв и клиента с маской /32 актуально когда только 2 устройства правильно?

Нет. Сеть WG-сервера с маской /24. Сети WG-клиентов с маской /32, а вот разрешенные подсети за WG-клиентами с маской /24

Link to comment
Share on other sites
Monstr86 Content Generator

Monstr86

Posted
Posted
19 часов назад, Oblomov Danny сказал:

Такой маршрут есть на роутере 2 , т.к. эта сеть должна ходить через шлюз vpn на роутер 1. В разрешенных сетях в пире на роутере 1 она тоже есть.

Зачем этот маршрут на роутере 1?

 

А откуда роутер №1 будет знать о сетях за роутером №2 без маршрута? Либо я не понимаю ваши задачи, исходя из вашего описания, вы хотите с роутера №1 видеть сеть за роутером №2 я прав?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...