1 Temat przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Temat: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05 – brak routingu wewnętrznie i na zewnątrz

Mam 1 router stockowy, Wireguard na RPI, działa bez problemu, ale ma 100 MB karta, chciałem się przenieść na 2 AP w sieci (dump AP, bez firewala, ustawiony na nim getway na AP router główny).
Uruchomiłem Wireguard na tym AP, przekierowałem port na Wireguarda na ten AP (działa wszystko jak jest przekierowany port wireguarda na RPI) , no i zagwozdka.
Po połączeniu brak jest routingu/forwardu do sieci wewnętrznej (łączy się na dump AP, ale nie ma nic więcej) i odcina klienta od internetu, mimo tego że nie ma ustawienia Wireguard aby ruch przechodził przez tuel w kliencie. Nie wiem co trzeba dodać (kiedyś był ip forward w iptables, tak mam ustawione na RPI), a tu nie wiem.

Moja config network:
config interface 'loopback'
    option device 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'
    option ipv6 '0'

config globals 'globals'
    option packet_steering '1'

config device
    option name 'br-lan'
    option type 'bridge'
    option promisc '0'
    option ipv6 '0'
    list ports 'lan1'
    list ports 'lan2'
    list ports 'lan3'
    list ports 'lan4'
    list ports 'wan'


config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ipaddr '192.168.100.199'
    option netmask '255.255.255.0'
    option ipv6 '0'
    option gateway '192.168.100.100'
    list dns '192.168.100.100'
    list dns '8.8.8.8'
    list dns '185.137.248.11'
    list dns '208.67.222.123'
    list dns '9.9.9.9'
    list dns '1.1.1.1'

config device
    option name 'phy0-ap0'
    option ipv6 '0'

config device
    option name 'phy1-ap0'
    option ipv6 '0'

config device
    option name 'wan'
    option ipv6 '0'

config interface 'wg0'
    option proto 'wireguard'
    option defaultroute '0'
    option ipv6 '0'
    list addresses '10.0.2.1/24'
    option force_link '1'
    option listen_port '8087'
    option delegate '0'
    option private_key 'yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy'

config wireguard_wg0
    option persistent_keepalive '25'
    list allowed_ips '10.0.2.2/32'
    option route_allowed_ips '1'
    option description 'xxxxxxxxxxxxx’
    option public_key ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

config wireguard_wg0
    option persistent_keepalive '25'
    list allowed_ips '10.0.2.3/32'
    option route_allowed_ips '1'
    option description 'xxxxxxxxxxxxx’
    option public_key ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

config wireguard_wg0
    option persistent_keepalive '25'
    list allowed_ips '10.0.2.4/32'
    option route_allowed_ips '1'
    option description 'xxxxxxxxxxxxx’
    option public_key ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

config wireguard_wg0
    option persistent_keepalive '25'
    list allowed_ips '10.0.2.5/32'
    option route_allowed_ips '1'
    option description 'xxxxxxxxxxxxx’
    option public_key ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'

Firewal (disabled) ale w configu jest tak:

NETGEAR_R6220:~# /etc/init.d/firewall status
Inactive

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option flow_offloading '1'
    option flow_offloading_hw '1'

DHCP też nie ma

Lokalnie połączenie do internetu  działa

PING openwrt.org (139.59.209.225): 56 data bytes
64 bytes from 139.59.209.225: seq=0 ttl=53 time=23.870 ms
64 bytes from 139.59.209.225: seq=1 ttl=53 time=23.315 ms
64 bytes from 139.59.209.225: seq=2 ttl=53 time=23.208 ms
64 bytes from 139.59.209.225: seq=3 ttl=53 time=23.362 ms
64 bytes from 139.59.209.225: seq=4 ttl=53 time=23.054 ms

--- openwrt.org ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 23.054/23.361/23.870 ms


Wiegand client (działa normalnie na RPI)

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Address = 10.0.2.2/32
DNS = 185.137.248.11, 8.8.8.8, 1.1.1.1, 9.9.9.9, 149.112.112.112, 208.67.220.222, 208.67.222.220, 217.17.34.10

[Peer]
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, 192.168.100.0/24
Endpoint = xxxxxxxxxxx.ddns.net:8087
PersistentKeepalive = 25

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Jak to na hoście wewnątrz sieci - nie masz option masq 1 w sekcji lan. To już chyba należało by w faq umieścić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Cezary napisał/a:

Jak to na hoście wewnątrz sieci - nie masz option masq 1 w sekcji lan. To już chyba należało by w faq umieścić.


sorry ale niezalapalem, mam dodac

option masq '1' w lan ?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Dokładnie to napisałem. I nie pisz zaraz ze nie działa tylko sprawdź czy masz zezwolenie na  forwarding wg <> lan

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez roblad (edytowany przez roblad 2023-08-22 20:35:08)

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Cezary napisał/a:

Dokładnie to napisałem. I nie pisz zaraz ze nie działa tylko sprawdź czy masz zezwolenie na  forwarding wg <> lan


Mam firewala wylaczonego a config taki

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option flow_offloading '1'
    option flow_offloading_hw '1'

Nie mam stref


dodalem do lan w network

    option    masq '1'

no i nie dziala :-)

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Więc masz problem, bo potrzebujesz maskarady na lanie.
W firewallu w sekcji lan, nie w network. Musisz mieć maskaradę na lanie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

czyli wlaczyc firewala, echh a myslalem ze sie obejdzie, sprawdze

8 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

No zadzialalo, jakie straty moga byc na WiFi ?

mam wlaczonego firewala z takimi ustawieniami


config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option flow_offloading '1'
    option flow_offloading_hw '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option family 'ipv4'
    option masq_allow_invalid '1'
    option masq '1'
    list network 'lan'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option family 'ipv4'
    option masq_allow_invalid '1'
    option masq '1'
    list network 'wg0'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'


nie ma jakiegos obejscia aby wywalic firewala, np bridge dodac do niego sztucznie dodany interfeic wg

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Co to ma wspólnego z wifi? Właściwe pytanie to czy router jest na tyle wydajny żeby mu natowanie nie przeszkadzało a nie że jakieś straty na wifi masz mieć z tego powodu. Dwie różne rzeczy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Cezary napisał/a:

Co to ma wspólnego z wifi? Właściwe pytanie to czy router jest na tyle wydajny żeby mu natowanie nie przeszkadzało a nie że jakieś straty na wifi masz mieć z tego powodu. Dwie różne rzeczy.


:-) niedoprecyzowalem, wlasnie chodzi mi o wydajność czy nie zjedzie, potestuje jutro, lub po jutrze, zobacze jakie mam straty

11 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Mam Cezary jeszcze 1 pytanie, jak zmusic klienta aby nie uzywal tunelu do innternetu tylko trasowal ruch lokalnie, obeznie mam tak ze internet idzie mi po hoscie nie po peerze, i nie moge znalezc jak zmusic klienta do lokalnego ruchu intrnetowego

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Albo zdefiniuj odpowiednio trasy albo używaj np. pbr'a do kierowania ruchu. Generalnie wszystko rozbija się o odpowiednie tablice routingu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

hmmm

"Albo zdefiniuj odpowiednio trasy albo używaj np. pbr'a do kierowania ruchu." to teraz juz zglupialem, a w szczegolnosci na telefonie z apka standardowa, to jak mozna to zrobic, no i co po stronie hosta?

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Nie na telefonie. Telefon wysyła pakiet na swoją trasę domyślną do gatewaya. A teraz gateway ma coś z tym pakietem zrobić. Jeżeli masz tam tunel jak trasę domyślną to wszystko idzie na tunel. Jak nie to nie, więc zrób odpowiednio routing i kieruj tak jak chcesz. Tam gdzie masz tego vpna.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez roblad

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

Chyba sobie nie poradze "Telefon wysyła pakiet na swoją trasę domyślną do gatewaya." dlaczego mi wlasnie wysyla poprzez tunel, a chcialbym zeby tego nie robil, internet mi idzie po polaczeniu przez vpn, probowalem na serwerze zmieniac

option route_allowed_ips '1'
option route_allowed_ips '0'

i na serwerze

option defaultroute '0'

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,048

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

W wireguard to czy jest trasa domyślna czy kie steruje wpis 0.0.0.0/0 w allowedips. Jak jest to właśnie zastępuje trasę domyślną. Jak masz coś tam innego to pojawia się tylko ta inna trasa.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez roblad (edytowany przez roblad 2023-08-22 23:45:32)

  • roblad
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-03-14
  • Posty: 1,036

Odp: Wireguard na 2 AP – brak forwardingu po polaczeniu, Openwrt 23.05

mam, znalazlem


server

config interface 'wg0'
    option proto 'wireguard'
    option ipv6 '0'
    list addresses '10.0.2.1/24'
...

    option route_allowed_ips '1'
...

peer

config wireguard_wg0
    option persistent_keepalive '25'
    list allowed_ips '10.0.2.4/32'
    list allowed_ips '192.168.100.0/24'

....
gdzie

    ip peera z klienta '10.0.2.4/32'
    moja siec '192.168.100.0/24'

po stronie klienta

AllowedIPs = 10.0.2.4/32, 192.168.100.0/24


i ruch do internetu na kliencie  idzie trasa domyslna klienta

jak po stronie serwera zrobimy dla perra

config wireguard_wg0
    option persistent_keepalive '25'
    list allowed_ips '0.0.0.0/0'

na kliencie

AllowedIPs = '0.0.0.0/0'

cały ruch pójdzie przez tunel

jak na kliencie zrobimy


AllowedIPs = 192.168.100.0/24, 0.0.0.0/1, 128.0.0.0/1


ta sztuczka cos daje ale zapomnialem dokladnie co ale internet tez idzie przez tunel

0.0.0.0/1, 128.0.0.0/1

wydaje mi sie ze pozwala dostac sie do lokalnej sieci nie odcina ruchu lokalnego jak w przypadku 0.0.0.0/0