A tak po prostu bridge wifi z tun0 ci nie działa?

No a co ja napisałem? I nie tun0 oczywiście Masz tunel zakończony na r2 i r3 więc na r2 zrób sobie w networku bridge wg0 i wifi, wszystko co się podłączy do wifi będzie biegło przez tunel vpn.

1) Wireguard zapewnia łączność pomiędzy LAN R2  (192.168.3.x) - LAN R1  (192.168.2.x) - LAN3  (192.168.4.x) czyt. L3
2) Ja potrzebuję aby ruch z LAN się nie mieszał z tym GUESTowym coś w stylu innego VLAN ale nie musi być. Ważne aby z mostować interfejscy guest0 miedzy urządzeniami, tak aby ta siec guestowa była podawana z R1, do R2 i R3 (i miała inną niezależną adresację) czyt L2/L3 ?
3) wireguard obsługuje tylko ruch L3 z nazwanymi trasami

Mi to implikuje, że nie mogę wybrać po prostu mostu na wg0 bo (a) miesza mi ruch (b) i tak nie przejdzie mi DHCP (chyba, że jakimś prekaźnikiem)

Może się mylę? Teraz dogrzebałem się do GRE, ktoś coś próbował? Cholerstwo jednak jest dla kernela 4.14, a nie ma nowszych sourców (zbudowałem przed chchwila nowy obraz)

Tamten istniejacy tunel wireguard ma zostac jak jest bo on mi zapewnia łączność pomiędzy LAN i jest spoko.
Mogę zrobić oddzielny tunel wireguarda dedykowany guestom tylko, że widzę problem z ustawieniem routingu

Chociaż teraz się zastanawiam czy nowa instancja wgX z mostem na guest Wifi dla tych urządzeń  adresacja i DHCP Forwardem by możę nie zadziałała?

Tylko jak ma wygladac config dla wg? poniżej przykład... powinienem do sekcji allow dodac jeszcze sieć 172.16.0.0/24 dla kazdego urządzenia - tylko to implikuje błędny routing, bo jak to ma byc adresacja 172.16.0.0/24 na urządzeniu R1 ma isć przez tunel, a po driej stronie tunelu to samo tylko odwrotnie.

R1
guest0 172.16.0.1 (dhcp server)
- client 172.16.0.4
- client 172.16.0.7
wg0 192.110.12.1
- allow 192.110.12.2/32, 192.110.12.3/32

R2
guest0 172.16.0.2 (dhcp forward)
- client 172.16.0.5
- client 172.16.0.7
wg0 192.110.12.2
- allow 192.110.12.1/32

R3
guest0 172.16.0.3 (dhcp forward)
- client 172.16.0.8
- client 172.16.0.6
wg0 192.110.12.3
- allow 192.110.12.1/32

Więc... pomyslalem, ze mozna albo uzyc istniejacego wg0 albo utworzyc nowy wg1 ale i tak w nim trzeba by puscic enkapsulowany ruch łączący inne interfejsy np. br10 dla kazdego z urządzeń (a te br10 zmostowane by zostąły do WiFi).

Pytanie jaki protokół/interfejs użyć do zmostowania tego tunelu (ale wg ma byc tylko nośnikiem - jakbys sesje SSH puszczał po OpenVPN).

Chyba, że można prosciej i za bardzo kombijuje?

No na razie tylko na to wpadłem. Może ktoś ma lepsze pomysły? Ale tak jak napisałem - najnowsze buildy są a 4.19 a ten Gre pakiet ma zależności na 4.14 i nie sposób go użyć

Ale ja to zrobiłem...

root@openwrt:~# opkg install /tmp/gre_1-12_all.ipk 
Installing gre (1-12) to root...
Collected errors:
 * satisfy_dependencies_for: Cannot satisfy the following dependencies for gre:
 *      kernel (= 4.14.172-1-0894164cab0effc42201a29fec8ce33f)
 * opkg_install_cmd: Cannot install package gre.
root@openwrt:~# uname -a
Linux kokos 4.19.108 #0 SMP Tue Mar 24 14:42:52 2020 armv7l GNU/Linux

DEL

Już sprawdziłem... i zainstalowałem. Dzięki, weź z tego zrób jakiś przykład dot. zależności modułów i opkg/ipk.
A ja tutaj jutro opiszę co mi wyszło z tym GRE i zestawieniem mostu.

1. Czysty wireguard odpada nawet z DHCP Relay, ponieważ DHCP wymaga Multicast a WG jako protokół L3 nie ma takiej obsługi.
2. Analizowałem ponadto użycie IPIP ale z racji, że też działa na L3 odpadł.
3. Postawiłem tunel GRE w dedykowanym tunelu WG ale nie ma problemu aby poszło po już istniejącym. Nie testowałęm jeszcze jednak szczegółowo reguł firewalla w tym zakresie - tj. wszystko wrzuciłem w jedną strefę.
4. WG + GRE(TAP) adresuje mój case. Instrukcja i założenia.

Chcemy spiąć w jedną sieć na poziomie Ethernetu (L2) kilka odległych miejsc. Ma być komunikacja szyfrowana.
To można zrealizować z wykorzystaniem różnych rozwiązań m.in. IPSEC, OpenVPN (TUN/TAP) ale ja chciałem coś lekkiego bo maszyny na końcówkach nie są mocne. Wybór pada na Wireguarda, dodatkowo dlatego, że ma model point-multipoint - czyli spinamy na jednej konfiguracji wg kilka zdalnych lokalizacji.

Potrzebujemy jednak wewnątrz naszego VPN (wireguard) jakiegoś protokołu enkapsulacji dla warstwty 2 OSI. I tutaj przychodzi nam GRE. Nie ma niestety konfiga w LuCI ale konfig jest banalny.
Mamy 4 opcje protokołu (co wpływa na wydajność [narzut]) - gre, grev6, gretap, gretapv6 - https://openwrt.org/docs/guide-user/net … _protocols

/////// R1 ////////

config interface 'wg1'
        option proto 'wireguard'
        option private_key 'abcdef'
        option listen_port '51820'
        list addresses '192.168.50.1' // adres IP sieci wireguard R1

config wireguard_wg1
        option description 'peer-r2'
        option public_key 'xxxx'
        list allowed_ips '192.168.50.2/32' // zezwól na ruch z peera
        option route_allowed_ips '1'
        option endpoint_host 'r2.acme.com'
        option endpoint_port '51820'
        option persistent_keepalive '25'

config interface 'tun10'
        option proto 'gretap' // ja chce IPv4 na poziomie L2
        option peeraddr '192.168.50.2' // wykorzystujemy adres wireguard peera jako bramę do zdalnejkońcówki tunelu GRE
        option ipaddr '192.168.50.1' // wykorzystujemy adres lokalnego interfejscu wireguard do lokalnej końcówki tunelu GRE

config interface 'guest' // definicja dowolnego interfejsu
        option proto 'static' // statyczny (bo serwer)
        option type 'bridge' // u mnie jest akurat most dla WiFi
        option ifname '@tun10' //tutaj najwazniejsze - alias do końcowki tunelu GRE (nazwa interfejsu GRE)
        list ipaddr '192.168.5.1/24' // u mnie adresacja serwera DHCP na R1

/////// R2 ////////

config interface 'wg1'
        option proto 'wireguard'
        option private_key 'abcdef'
        option listen_port '51820'
        list addresses '192.168.50.2' // adres IP sieci wireguard R2

config wireguard_wg1
        option description 'peer-r1'
        option public_key 'xxxx'
        list allowed_ips '192.168.50.1/32' // zezwól na ruch z peera
        option route_allowed_ips '1'
        option endpoint_host 'r1.acme.com'
        option endpoint_port '51820'
        option persistent_keepalive '25'

config interface 'tun10'
        option proto 'gretap' // ja chce IPv4 na poziomie L2
        option peeraddr '192.168.50.1' // wykorzystujemy adres wireguard peera jako bramę do zdalnej końcówki tunelu GRE
        option ipaddr '192.168.50.2' // wykorzystujemy adres lokalnego interfejscu wireguard do lokalnej końcówki tunelu GRE

config interface 'guest' // definicja dowolnego interfejsu
        option proto 'dhcp' // pobieramy adresacje z serwera R1
        option type 'bridge' // u mnie jest akurat most dla WiFi
        option ifname '@tun10' //tutaj najwazniejsze - alias do końcowki tunelu GRE (nazwa interfejsu GRE)

Architektura sieci

192.168.5.0/24 - [ethX] - 192.168.5.1/32 - [wg1] - 192.168.50.1/32 - [tun10][gretap]  =====  [gretap][tun10] - 192.168.50.2/32 - [wg1] - 192.168.5.x/32 - [ethX] - 192.168.5.0/24

Taka konfiguracja pozwala na multicast, unicast itp. W zasadzie mamy sieć ethernet (nawet można VLAN-y upakować) rozpiętą na dwie lub więcej zdalnych lokalizacji. Wszystko zapakowane w tunel wireguarda.

Plusy :
- natywne protokoły, obsługa obecnie praktyczine każdego OS
- lekki, szybki ale solidny tunel VPN
- mozna w tym modelu uruchomić jakieś cieżkie usługi, które inaczej by nie poszły na słabym sprzęcie (poprzez nasze proxy [R1])

Minusy:
- wymaga pełnej konfiguracji na peerach
- narzut protokołu / mniejsza przepustowość (MTU)

Czyżby nikt oprócz @imkebe nie przerabiał tego GRE?

Proszę o wskazówki w temacie poprzedniego mojego posta.

Sęk w tym, że serwer wireguard jest zwykłym hostem. Jak ustawiłem GRE na adresacji wg to niby jakieś pakiety przechodzą. Ale utworzyłem (czy sam się utworzył) jeszcze jakiś interfejs alias gretap4 i tutaj w związku z tym że jak to zauważyłeś jest to bardziej skomplikowane leżę. Na tym forum podpowiedzi nie znalazłem a robiąc na podstawie innych przykładów z neta sukcesu brak. Router bez openwrt jak router brzegowy i NAT mocno komplikuje mi życie. Nic to będę szukał tych przykładów o których piszesz.

A może prościej będzie zrobić tak. Skoro router z openwrt jest głupim AP to na nim uruchomić serwer DHCP i NAT a router główny jako AP? Tylko router główny obsługuje połączenie poprzez PPPoE. Jest coś takiego możliwe?

No ale jezeli LAN-y na routerach mają inną adresację i na sieci guest utworzę jeszcze inna adresację to skąd hosty, które chcę aby były w jednej sieci pobiorą sobie IP. Serwery DHCP wtedy nie biorą udziału w adresowaniu hostów?

Powinienem zrobić bridge pomiędzy guest a LAN-ami? Pewnie nie bo LAN-y mają inną adresację.