1 Temat przez Ari93

  • Ari93
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-10
  • Posty: 124

Temat: Problemy z dostępem do sieci przez VPN

Witam, załatwiłem dzisiaj u dostawcy publiczny IPv4. Skonfigurowałem ddns, skonfigurowałem w zaporze sieciowej przekierowywanie portów i sukces, mam dostęp zdalny do mojego HomeAssistanta. Idąc dalej skonfigurowałem serwer WG na ruterze (OpenWrt 21.02-SNAPSHOT r16521-b1c3539868 - proszę bez komentarze, w planach mam przejście na 23 big_smile) i klienta na moim smartfonie z androidem wg poradnika https://eko.one.pl/?p=openwrt-wireguard . No i generalnie działa ALE; internet działa, mam dostęp do LuCI rutera (10.0.0.1), mam również dostęp do homeassistanta (10.0.0.13:8123) ale już nie mogę się połączyć z innymi adresami jak np PiHolem (10.0.0.12) czy całym Proxmoxem (10.0.0.11:8006) na którym stoi wcześniej wspomniany home assistant i pihole. Co i gdzie kliknąć aby "odblokować" całą sieć? W zaporze rzekomo WG ma dostęp do lanu i na odwrót ale działa to jakoś dziwnie no i skąd ten lokalny dostęp do HA przez WG skoro przekierowanie jest tylko z wan do konkretnego ip i jego portu na którym jest HA?

Jeśli chodzi o konfigi to z "anomalii" zniknął mi całkowicie konfig sieci dla gości; tak jak był wan, wan6 i lan to ja dodałem bodajże "goscie" z połączeniem tylko do wan i z której to sieci korzystały sieci wifi 2,4 i 5ghz dla gosci. W tej chwili łączą się z lanem. (z sieci i tak nikt nie korzystał także...) Ja dodałem tylko wspomniane wcześniej przekierowanie portów z nieco innego na 8123 (żeby jakieś boty szukające 8123 tak szybko mojego HA nie znalazły...?). No i reszta ustawiona z konfiguracji powyżej. Jak by to nie działało to bym pewnie olał temat i zajął się po aktualizacji ale no "trochę" działa... ssh do HA i rutera też działa, do proxmoxa i pihole nie. Za to połączenie ssh do proxmoxa i pihole PRZEZ ruter już działa.

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,935

Odp: Problemy z dostępem do sieci przez VPN

Konfigi pokaż...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez Ari93

  • Ari93
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-10
  • Posty: 124

Odp: Problemy z dostępem do sieci przez VPN

Wystarczy od network i firewall? No i mam nadzieję że o to chodziło

network

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'
config globals 'globals'
        option packet_steering '1'
        option ula_prefix 'fde3:c19b:8999::/48'
config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'
config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '10.0.0.1'
        list dns '10.0.0.12'
        list dns '1.1.1.1'
        list dns '8.8.8.8'
config interface 'wan'
        option device 'wan'
        option proto 'dhcp'
config interface 'wan6'
        option device 'wan'
        option proto 'dhcpv6'
config interface 'wg0'
        option proto 'wireguard'
        option private_key 'xxx'
        option listen_port '55055'
        list addresses '10.0.0.2/24'
config wireguard_wg0
        option public_key 'xxx'
        option route_allowed_ips '1'
        list allowed_ips '10.0.0.3/32'
        option persistent_keepalive '30'
        option description 'android-s20fe'
firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'
config forwarding
        option src 'lan'
        option dest 'wan'
config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'
config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
         option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'
config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'
config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'
config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'
config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'
config rule
        option name 'Support-UDP-Traceroute'
        option src 'wan'
        option dest_port '33434:33689'
        option proto 'udp'
        option family 'ipv4'
        option target 'REJECT'
        option enabled 'false'
config include
        option path '/etc/firewall.user'
config redirect
        option dest 'lan'
        option target 'DNAT'
        option name 'ha'
        option src 'wan'
        option src_dport '8124'
        option dest_ip '10.0.0.13'
        option dest_port '8123'
config rule
        option src 'wan'
        option target 'ACCEPT'
        option proto 'udp'
        option dest_port '55055'
        option name 'wireguard'
config zone
        option name 'wg'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option masq '1'
        option network 'wg0'
config forwarding
        option src 'wg'
        option dest 'wan'
config forwarding
        option src 'wan'
        option dest 'wg'
config forwarding
        option src 'wg'
        option dest 'lan'
config forwarding
        option src 'lan'
        option dest 'wg'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,935

Odp: Problemy z dostępem do sieci przez VPN

Czy na pihole i na proxmoxie masz ustawiony gateway na 10.0.0.1?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Ari93

  • Ari93
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-10
  • Posty: 124

Odp: Problemy z dostępem do sieci przez VPN

do pihole nie pamiętam hasła do ssh ale w proxmoxie w /etc/network/interfaces wychodzi na to że tak

auto lo
iface lo inet loopback
iface enp1s0 inet manual
auto vmbr0
iface vmbr0 inet static
        address 10.0.0.11/24
        gateway 10.0.0.1
        bridge-ports enp1s0
        bridge-stp off
        bridge-fd 0

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,935

Odp: Problemy z dostępem do sieci przez VPN

Zmień adresacje wireguarda. Nie zrobiłeś tak jak w poradniku, nie możesz stosować tej samej adresacji dla sieci lan i wiregaurda, użyj innej. Wireguard bazuje na L3, jest routowalny/natowalny więc po prostu masz zrobić sieć o innej adresacji.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez Ari93

  • Ari93
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-10
  • Posty: 124

Odp: Problemy z dostępem do sieci przez VPN

Ok, to wszystko jasne, w wolnej chwili możesz do poradnika dopisać że nie może być tej samej adresacji, jest tylko zdanie

"Do VPNa będzie używana adresacja 10.9.0.0/24, serwer będzie miał adres 10.9.0.1 i nasłuchiwał będzie na porcie 55055, w większości przypadków nie powinno to kolidować z resztą naszej sieci."

A u mnie jest ruter na .1 i cała reszta zaczyna się od .10 i wzwyż więc jak dla mnie .2 i .3 nie koliduje z resztą sieci... ;p
To wystarczy w /etc/config/network zmienić te dwa adresy na powiedzmy 10.0.1.1 i .1.2 i dać
uci commit network
/etc/init.d/network restart
? czy gdzieś np. w konfiguracji wireguarda coś jeszcze kliknąć?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,935

Odp: Problemy z dostępem do sieci przez VPN

Adresację wireguarda zmień a nie sieci, i wybierz sobie coś innego niż 10.x.x.x bo to mało się rzuca w oczy i będziesz robił śmieszne pomyłki.

Wszystkie poradniki które robię dotyczą czystych instalacji openwrt. Jeżeli gdzieś nie napisałem że trzeba zmienić adres na lanie to znaczy że zostaje taki jak był, czyli 192.168.1.0/24.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez Ari93

  • Ari93
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-10
  • Posty: 124

Odp: Problemy z dostępem do sieci przez VPN

Już się do tej adresacji przyzwyczaiłem ale generalnie działa, w network te oba ip zmieniłem, zrestartowałem cały router, w kliencie na telefonie adres zmieniłem i działa wszystko, pihole i proxmox też już się ładują.
Dziękuję bardzo za pomoc

10 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Problemy z dostępem do sieci przez VPN

Ari93 napisał/a:

Ok, to wszystko jasne, w wolnej chwili możesz do poradnika dopisać że nie może być tej samej adresacji, jest tylko zdanie

"Do VPNa będzie używana adresacja 10.9.0.0/24, serwer będzie miał adres 10.9.0.1 i nasłuchiwał będzie na porcie 55055, w większości przypadków nie powinno to kolidować z resztą naszej sieci."

A u mnie jest ruter na .1 i cała reszta zaczyna się od .10 i wzwyż więc jak dla mnie .2 i .3 nie koliduje z resztą sieci... ;p
...

w większości nie koliduje czyli w mniejszości koliduje. Ty byłeś tą mniejszością smile

Jakbyś zrobił to co w poradniku, to nie byłoby kolizji z żadną końcówką na ostatnim oktecie adresu, oraz routingiem do żadnej siecią czy to LAN czy WG, ponieważ adres 10.0.0.1/24 oraz adres 10.9.0.1/24 są z zupełnie innych sieci, a Ty zrobiłeś na lan 10.0.0.1/24 oraz wireguard 10.0.0.2/24 z tej samej sieci.

Ari93 napisał/a:

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '10.0.0.1'
        list dns '10.0.0.12'
        list dns '1.1.1.1'
        list dns '8.8.8.8'
...
config interface 'wg0'
        option proto 'wireguard'
        option private_key 'xxx'
        option listen_port '55055'
        list addresses '10.0.0.2/24'

Poradnik jest dobry nawet dla Twojego przypadku i nie ma co snuć teorii, tylko trzeba się było  zastosować.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

11 Odpowiedź przez Ari93

  • Ari93
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-10-10
  • Posty: 124

Odp: Problemy z dostępem do sieci przez VPN

Tak tak, oczywiście. Ale dalej twierdzę że brak informacji że osobna sieć jest potrzebna było tu problemem, myślałem że wywalenie tego do innej sieci jest po to żeby przypadkiem nie zająć adresu już jakiegoś innego urządzenia które dostało je po DHCP czy tam ktoś sobie ustawił je akurat na stałe. Ja jako trzymający porządek w sieci myślałem że po prostu wystarczy świadomie przydzielić jakichś zawsze wolny adres i tyle. Jak by to nie działało w ogóle to bym sobie pewnie poradził ale że coś działało a coś nie to mnie dość... "wybiło" ;p

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,935

Odp: Problemy z dostępem do sieci przez VPN

Umieściłem taką informację że jasno było to powiedziane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona