1 Temat przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Temat: LTE, wireguard, cctv, licznik energii

Witam,
walczę już drugą noc i ciągle problem. Postawiłem na digitalocean serwer VPS i odpaliłem Wireguard.
Chce z telefonu podglądać CCTV z sieci lokalnej i odpalać stronkę z wykresami zużycia energii elektrycznej (malina).
Na telefonie z androidem klient łączy się, ruch leci przez serwer VPN. Na raspberry pi, która jest w NAT za routerem z openwrt (LTE bez zewnętrznego IP) zainstalowałem klienta i działa. Malina łączy się z serwerem VPS, komenda curl ipinfo.io/ip pokazuje mi IP serwera VPS więc połączenie jest.
Ping z serwera na telefon i rasp idą. Z rasp na serwer też ping idzie ale już na telefon nie.
Kombinowałem z ustawieniami na routerze (interfejsy, firewall) ale nic to nie zmienia.
Przeczytałem masę poradników, postów, obejrzałem pół yt i dalej nic. Mam większy bajzel w głowie niż zanim zaczynałem.
Chce zacząć od początku. Pomoże ktoś ułożyć logicznie temat?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

Pokaż co dotychczas zrobiłeś, bo coś mi się zdaje że po prostu brakuje Ci odpowiednich wpisów w AllowedIPs.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez pedrox (edytowany przez Cezary 2021-04-07 05:47:32)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Hejka,
serwer VPS na digitalocean poszedł skryptem z algo.
Klient raspberry wg. how-to.
Klient na androidzie - standard z google play.
Na openwrt (19-07 TP-Link Archer C7 v5, zwykłe LTE Orange) próbowałem rozwiązań z konfiguracji klienta https://eko.one.pl/?p=openwrt-wireguard, przez LuCI, poradników online, yt... zmieniałem właściwości interfejsu wg0, ustawienia zapory i peersów. Zerowa zmiana. W sumie nie wiem co wklejać żeby nie śmiecić.
Wrzucam konfig network i firewall z mojego openwrt bo to chyba tutaj jest pies pogrzebany

root@OpenWrt:~# cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd32:56e1:eb1e::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option broadcast '10.0.0.255'
        option ipaddr '10.0.0.250'
        list dns '10.0.0.250'
        list dns '1.1.1.1'

config interface 'wan'
        option proto 'dhcp'
        option ifname 'eth1'
        option metric '10'
        option dns '1.1.1.1 8.8.4.4'
        option peerdns '0'

config interface 'wan2'
        option proto 'wwan'
        option apn 'internet'
        option metric '20'
        option dns '1.1.1.1 8.8.4.4'
        option peerdns '0'

config device 'wan_eth0_2_dev'
        option name 'eth0.2'
        option macaddr 'd8:0d:17:2c:fe:65'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '2 3 4 5 0t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 0t'

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'gPwxxxxxxxxxxxxxxxxxxxxxxx9Vecgq3TgH1vOAJh414='
        list addresses '10.49.0.3/32'
        option listen_port '51820'

config wireguard_wg0
        option public_key 'gxxxxxxxxxxxxxxxxxxxxxxxlx8G5+xV6kJBSz1YZqpXk='
        option route_allowed_ips '1'
        option endpoint_host '159.65.123.138'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        option description 'omen'
        list allowed_ips '0.0.0.0/0'
root@OpenWrt:~# cat /etc/config/firewall

config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
        option network 'wan wan6 wan2 wg0'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
    option src 'wan'
    option target 'ACCEPT'
    option proto 'udp'
    option dest_port '51820'
    option name 'wireguard'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    option network 'wg0'

config forwarding
    option src 'wg'
    option dest 'wan'

config forwarding
    option src 'wan'
    option dest 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

Zrobiłem edycję postu  i zmieniłem klucze, żeby nikt ci się nie podłączył.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-18
  • Posty: 503

Odp: LTE, wireguard, cctv, licznik energii

Pokaż jeszcze konfigurację z VPSa, nie zapomnij kluczy poukrywać smile
Ja robię tak:
"Server" Wireguard ma np.  list addresses  10.49.0.1/24 i tu ważne by maska była /24
dane "klienta" routera openwrt na serwerze czyli u ciebie na VPSie:


public_key 'kluczpubliczny'
route_allowed_ips '1'
allowed_ips '10.49.0.3/32 192.168.3.0/24'

192.168.3.0/24 - to adres sieci LAN tego routera klienta.


Teraz konfiguracja "klienta" - czyli routera Openwrt:
config interface 'wg0'
        option proto 'wireguard'
        option private_key 'klucz prywatny='
        list addresses '10.49.0.3/32'

config wireguard_wg0
        option public_key 'klucz publiczny'
        option route_allowed_ips '1'
        list allowed_ips '10.49.0.0/24'
        option endpoint_host 'adres IP serwera'
        option endpoint_port '55055'
        option persistent_keepalive '25'
        option description 'server wireguard'

Ja mam 10.49.0.0/24 ponieważ używam wielu połączeń sieci typu punkt-punkt i LAN-LAN
Oprócz tego mam też w allowed ips inne sieci lokalne które znajdują za innymi " routerami klientami" w zależności komu co jest potrzebne. Jeśli nie da się pingować lokalnego IP z tunelu to znaczy, że masz coś nie tak w allowed ips.

6 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Hejka, liczyłem w akcie desperacji że komuś uda się do mnie wbić wink

Poniżej config z VPS przed zmianami:

[Interface]
Address = 10.49.0.1/16 ,2001:db8:al60::1/48
ListenPort = 51820
PrivateKey = HH############################3EImP13cCU0vvy9Gc=
SaveConfig = false

[Peer]
# telefon
PublicKey = oVfxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZPpggs= 
PresharedKey = LifffffffffffffffffffffffffffffffffffffffraO= 
AllowedlPs = 10.49.0.2/32,2001:db8:al60::2/128

[Peer]
# omen
PublicKey  =   lkgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxUu= 
PresharedKey  =  99cyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyRM4= 
AllowedlPs   =   10.49.0.3/32, 10.0.0.0/24

[Peer]
# malina
PublicKey = 4K6vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvhY= 
PresharedKey = 63xfvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv0XeXo= 
AllowedlPs = 10.49.0.4/32,2001:db8:al60::4/12B

Po zmianach na VPS oraz na OpenWRT wg. twoich rad nic się nie zmienia sad

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

A co pingujesz? Adres ip ten 10.49* czy ten który jest na lanie?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Ok, połowiczny sukces. Trzeba było chwilę odczekać bo widzę że coś ten VPS z opóźnieniem reaguje.
Na VPS ustawiłem maskę sieci z /16 na /24, dorzuciłem przy #malina adres mojej sieci i teraz z VPS moge pingować adres maliny oraz z telefonu mogę wchodzić na stronkę hostowaną przez maline.
Nadal pozostaje sprawa podglądu z kamery.
W przypadku maliny odpaliłem klienta wireguard ale kamera nie daje takich możliwości.
Czyli innych hostów w sieci nadal nie widać.

[Interface]
Address = 10.49.0.1/24 ,2001:db8:al60::1/48
ListenPort = 51820
PrivateKey = HH############################3EImP13cCU0vvy9Gc=
SaveConfig = false

[Peer]
# telefon
PublicKey = oVfxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZPpggs= 
PresharedKey = LifffffffffffffffffffffffffffffffffffffffraO= 
AllowedlPs = 10.49.0.2/32,2001:db8:al60::2/128

[Peer]
# omen
PublicKey  =   lkgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxUu= 
PresharedKey  =  99cyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyRM4= 
AllowedlPs   =   10.49.0.3/32, 10.0.0.0/24

[Peer]
# malina
PublicKey = 4K6vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvhY= 
PresharedKey = 63xfvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv0XeXo= 
AllowedlPs = 10.49.0.4/32, 10.0.0.0/24

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

Masz złe allowedip. Ustaw taką klasę jaką masz na lanie maliny, bo teraz masz 10.0.0.0/24 i na omenie i na malinie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Nie za bardzo skumałem co mam zmienić bo malina (10.0.0.50/24) jest w tej samej sieci co router omen (10.0.0.254/24).

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

Zgubiłem się. To czym jest omen i gdzie jest kamera do której chcesz się dostać z maliny?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez pedrox (edytowany przez pedrox 2021-04-08 09:57:45)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Sieć domowa wygląda tak:
- router z openwrt (omen taka nazwa robocza,WAN to LTE) - 10.0.0.254/24
- raspberry pi (malina) z odpalonym pomiarem mocy (lighttpd na porcie 100) - 10.0.0.50/24
- kamera IP - 10.0.0.100/24

Do tego chce się dobrać z telefonu po LTE.
Dostęp telefon->malina jest bo widzę wykresiki smile
Serwer VPS pinguje telefon (10.49.0.2), maline (10.49.0.4, 10.0.0.50).
Malina pinguje tylko VPS (10.49.0.1).
Telefon nie wiem co pinguje bo nie odpalałem konsoli smile
Omen nic nie pinguje sad

Generalnie nie chce żeby cały ruch z routera leciał przez VPN. Niech sobie biega tak jak wcześniej. Chciałbym mieć tylko dostęp z zewnątrz do tych dwóch wydzielonych hostów z sieci lokalnej (chyba tak bezpieczniej). Poza tym nie chce ograniczać i tak słabego transferu po LTE.

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

Wywal omena z wireguarda bo go nie potrzebujesz, a allowedip na nim psuje ci routing do maliny.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Ok, wywalony omen z wireguarda.
Wracając do tematu podglądania kamery to jak to teraz ogarnąć?
W sieci lokalnej leci to przez port RTSP 554 z hosta 10.0.0.100

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

Po prostu podaj w aplikacji host 10.0.0.100. O ile w ogóle przechodzi to przez wireguarda, bo nigdy nie sprawdzałem, ale powinno.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez pedrox (edytowany przez pedrox 2021-04-08 13:04:19)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Niestety nie działa podanie ip w aplikacji - brak połączenia.
Zawsze myślałem, że jest to na zasadzie: zainstalowany klient(telefon)~~~serwer VPS~~ zainstalowany klient(malina). Na hoście, którym jest kamera IP nie mam klienta więc połączenia nie ma.
Jakbym miał zewnętrzne IP a nie zwykłe LTE to bym przekierował porty i po temacie.

Na tą chwilę robię stopa bo osiągnąłem cel ale nie tu gdzie powinienem.
Łączność powinna być do routera (działać jako klient) i umożliwiać wejście do sieci lokalnej (wydzielonego VLANu?) żeby móc podejrzeć konkretnego hosta ale tylko z puli tych, które chce żeby były podglądane.
Idę się bawić i zmusić mój router do "gadania". Jedyny cel to ograniczenie żeby cały ruch z sieci lokalnej nie musiał lecieć przez VPN ale o to będę nagabywał później wink

17 Odpowiedź przez MrB

  • MrB
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-02-27
  • Posty: 84

Odp: LTE, wireguard, cctv, licznik energii

Po co malinie klient? Sam sobie życie utrudniasz.

Telefon > VPS < Router < Malina / Kamera

W konfiguracji Wg (AllowedIP) dodajesz adres wewnętrzny Maliny oraz Kamery.

18 Odpowiedź przez pedrox (edytowany przez pedrox 2021-04-08 18:23:32)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Na serwerze VPS zostawiłem tylko telefon i omen (router OpenWRT).

[Interface]
Address = 10.49.0.1/24 ,2001:db8:al60::1/48
ListenPort = 51820
PrivateKey = HH############################3EImP13cCU0vvy9Gc=
SaveConfig = false

[Peer]
# telefon
PublicKey = oVfxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxZPpggs= 
PresharedKey = LifffffffffffffffffffffffffffffffffffffffraO= 
AllowedlPs = 10.49.0.2/32,2001:db8:al60::2/128

[Peer]
# omen
PublicKey  =   lkgxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxUu= 
PresharedKey  =  99cyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyRM4= 
AllowedlPs   =   10.49.0.3/32, 10.0.0.0/24

Na OpenWRT powywalałem wszystko i zrobiłem od początku.
/etc/config/network

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'gPwRxxxxxxxxxxxxxxxxxxmwJan9Vecgq3TgH1vOAJh414='
        list addresses '10.49.0.3/32'
        option listen_port '51820'

config wireguard_wg0
        option public_key 'gyOeYd5mxxxxxxxxxxxxxxxxxlx8G5+xV6kJBSz1YZqpXk='
        option description 'omen'
        option persistent_keepalive '25'
        list allowed_ips '0.0.0.0/0'
        option endpoint_host '159.65.123.138'
        option endpoint_port '51820'
        option route_allowed_ips '1'

/etc/config/firewall

config rule
        option src 'wan'
        option target 'ACCEPT'
        option proto 'udp'
        option dest_port '51820'
        option name 'wireguard'
        option dest '*'

config zone
        option name 'wg'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option network 'wg0'

config forwarding
        option src 'wg'
        option dest 'wan'

config forwarding
        option src 'wan'
        option dest 'wg'

config forwarding
        option src 'wg'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg'

czy dla reguły portu 51820 powinno być:
option dest '*'
czy bez tego czy do wan czy do lan???

Efekt taki sam: VPS (10.49.0.1) nie widzi OpenWRT (10.49.0.3, 10.0.0.254), OpenWRT nie widzi VPS.

Config wireguarda jest ok, jedynie firewall może coś kręcić ale nie wiem co ;(

19 Odpowiedź przez pedrox

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

MrB napisał/a:

Po co malinie klient? Sam sobie życie utrudniasz.

Telefon > VPS < Router < Malina / Kamera

Malinie klient był po to żeby sprawdzić czy to działa (VPS itp itd).

MrB napisał/a:

W konfiguracji Wg (AllowedIP) dodajesz adres wewnętrzny Maliny oraz Kamery.

W konfigu na VPS dałem

 AllowedlPs   =   10.49.0.3/32, 10.0.0.0/24

czyli teoretycznie wszystkie hosty, które mam w mojej sieci domowej. Wpisać z palca tylko te dwa, które mnie intresują?

20 Odpowiedź przez MrB (edytowany przez MrB 2021-04-08 18:08:03)

  • MrB
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-02-27
  • Posty: 84

Odp: LTE, wireguard, cctv, licznik energii

W konfiguracji "Omena" masz zupełnie inne klucze niż w w serwerze.

Dokładnie wprowadzasz tylko te które mają być dostępne.


Dodatkowo pisałeś że nie chcesz pchać całego ruchu z "Omena" przez VPS więc list allowed_ips '0.0.0.0/0' jest błędne.

21 Odpowiedź przez pedrox (edytowany przez pedrox 2021-04-08 20:25:16)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Sorry za błąd ale kleiłem część posta przed a część po wprowadzaniu zmian (fizycznie na maszynach się zgadzało w poście nie), teraz dla czystości zrobiłem nowego klienta o nazwie openwrt z nowymi kluczami i IP. Wbiłem to w serwer.

Po podaniu komendy wg widać podłączony telefon tak jak wcześniej a przy peer openwrt pojawiła się linijka : 

latest handshake: 26 seconds ago 
transfer: 3.13 KiB received, 10.96 KiB sent

czego wcześniej w przypadku klienta (routera) nie miałem.

Niestety pingi nadal nie działają.

22 Odpowiedź przez MrB (edytowany przez MrB 2021-04-08 22:25:57)

  • MrB
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-02-27
  • Posty: 84

Odp: LTE, wireguard, cctv, licznik energii

Wrzuć obecne cfg Serwera / telefonu / routera. Nie zapomnij ukryć kluczy.


Ogólnie niezły bałagan robisz patrząc na config który wysłałeś wcześniej. Otwierasz port XXXXX na omenie mimo że to nie on jest serwerem.

23 Odpowiedź przez pedrox (edytowany przez pedrox 2021-04-08 23:53:02)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

W desperacji próbowałem wszystkiego stąd ten bałagan ...
Rano wrzucę configi.

24 Odpowiedź przez pedrox (edytowany przez pedrox 2021-04-09 10:31:35)

  • pedrox
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-05-19
  • Posty: 30

Odp: LTE, wireguard, cctv, licznik energii

Zrobiłem wszystko prawie od nowa. Wywaliłem linijki o otwieraniu portów itp itd.Działa ale ...

serwer VPS

/etc/wireguard

[Interface]
Address = 10.49.0.1/24 ,2001:db8:a160::1/48
ListenPort = 51820
PrivateKey = WHxxxGc=
SaveConfig = false


[Peer]
# telefon
PublicKey = oVxxxgs=
PresharedKey = L1xxxm0=
AllowedIPs = 10.49.0.2/32,2001:db8:a160::2/128

[Peer]
# openwrt
PublicKey = GIxxxHk=
AllowedIPs = 10.49.0.5/32,10.0.0.100/24

tutaj podanie "10.0.0.100/24" chyba i tak nie ogranicza do jednego hostu bo testowałem z różnymi wpisami i dostęp jest do wszystkich hostów w podsieci

router openwrt

/etc/config/firewall

config zone
        option name 'wg'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option network 'wg0'

config forwarding
        option src 'wg'
        option dest 'wan'

config forwarding
        option src 'wan'
        option dest 'wg'

config forwarding
        option src 'wg'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg'

/etc/config/network


config interface 'wg0'
        option proto 'wireguard'
        option listen_port '51820'
        option private_key 'EDxxxUw='
        list addresses '10.49.0.5/32'

config wireguard_wg0
        option public_key 'gyxxxXk='
        option endpoint_host '159.65.123.138'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        option description 'openwrt'
        option route_allowed_ips '1'
        list allowed_ips '10.0.0.100/24'
        list allowed_ips '10.49.0.0/24'

ruszyło dopiero jak dodałem ostatnią linijkę 

list allowed_ips '10.49.0.0/24'

Teraz pytanie za 10 punktów: jak ograniczyć listę hostów z sieci lokalnej do których mogę się dobić z zewnątrz? Aktualnie przy tej konfiguracji jestem w stanie wbić się na pozostałe hosty (panel openwrt, widzę inne usługi, które mam w sieci)?
Modyfikowałem wpis  

list allowed_ips '10.0.0.100/24'

ale nic to nie zmienia.

25 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,236

Odp: LTE, wireguard, cctv, licznik energii

10.0.0.100 to jeden host
10.0.0.100/32 to też jeden host
10.0.0.100/24 to cała siec 10.0.0.xxx a w niej host 10.0.0.100.

Chcesz jeden host do dawaj /32 a nie /24

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona