Odp: Serwer micrus frog - wireguard
Bo miałeś połączenia już nawiązane i dlatego działało.
Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.
Strony Poprzednia 1 … 4 5 6
Zaloguj się lub zarejestruj by napisać odpowiedź
Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Serwer micrus frog - wireguard
Strony Poprzednia 1 … 4 5 6
Zaloguj się lub zarejestruj by napisać odpowiedź
Bo miałeś połączenia już nawiązane i dlatego działało.
PostUp = iptables -I FORWARD -i wg0 -o wg0 -j REJECT --reject-with icmp-admin-prohibited
PostUp = iptables -I FORWARD -i wg0 -s IPKLIENTA/32 -d IPSIECIWG/24 -j ACCEPT1. W ten sposób zablokujesz całkowicie ruch między klientami na serwerze.
2. Tak dodasz klientowi możliwość komunikacji z resztą, nic nie stoi na przeszkodzie aby zrobić z tego reguły na poszczególnych klientów zamiast /24 wskaż x.x.x.x/32
i to jest wada openwrt czyli ogromna fragmentacja, gdybym chciał to ja już nie mam iptables
Zaciąłem się. Zrobiłem tę konfigurację, ale w oparciu nie o Mikrusa a o VPS na Oracle Free Tier. Peery się łączą i generalnie jest ok. Ale jak dopisuję do jednego z peerów (openwrt za NATem) dodatkowo dostęp do jego sieci lokalnej 192.168.33.0 to mam taki komunikat "RTNETLINK answers: File exists". WG nie wstaje.
root@instance-20221225-3333:~# wg-quick up /etc/wireguard/wg0.conf
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.9.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] ip -4 route add 192.168.33.0/24 dev wg0
RTNETLINK answers: File exists
[#] ip link delete dev wg0Edytuję znowu konfigurację i usuwam dodatkową podsieć 192.168.33.0/24
AllowedIPs = 10.9.0.20/32,192.168.33.0/24
root@instance-20221225-3333:~# nano /etc/wireguard/wg0.conf
root@instance-20221225-3333:~# wg-quick up /etc/wireguard/wg0.conf
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.9.0.1/24 dev wg0
[#] ip link set mtu 1420 up dev wg0I wtedy WG wstaje.
Jak to naprawić?
Autopoprawka. Mam tę trasę już dodaną na openvpn.
192.168.33.0/24 via 10.195.93.2 dev tun0
i to jest wada openwrt czyli ogromna fragmentacja, gdybym chciał to ja już nie mam iptables
Dziwna odpowiedź, jaki problem przerobić to na nft?
Autopoprawka. Mam tę trasę już dodaną na openvpn.
192.168.33.0/24 via 10.195.93.2 dev tun0
No dokładnie. A że wg dopisuje routing, więc to nie może się powtarzać.
PostUp = iptables -I FORWARD -i wg0 -o wg0 -j REJECT --reject-with icmp-admin-prohibited PostUp = iptables -I FORWARD -i wg0 -s IPKLIENTA/32 -d IPSIECIWG/24 -j ACCEPT1. W ten sposób zablokujesz całkowicie ruch między klientami na serwerze.
2. Tak dodasz klientowi możliwość komunikacji z resztą, nic nie stoi na przeszkodzie aby zrobić z tego reguły na poszczególnych klientów zamiast /24 wskaż x.x.x.x/32
U mnie nie działa reguła nr 2.
Ruch między peerami jest zablokowany ale z odblokowanego peera nie mogę się połączyć z innymi peerami.
Tak jak by brakowało ruchu powrotnego.
Wie ktoś jak to poprawnie skonfigurować ? Ale tak aby PEER A mógł połączyć się z wszystkimi peerami a PEER BCD nie mógł się połączyć miedzy sobą i z PEERem A
MrB napisał/a:PostUp = iptables -I FORWARD -i wg0 -o wg0 -j REJECT --reject-with icmp-admin-prohibited PostUp = iptables -I FORWARD -i wg0 -s IPKLIENTA/32 -d IPSIECIWG/24 -j ACCEPT1. W ten sposób zablokujesz całkowicie ruch między klientami na serwerze.
2. Tak dodasz klientowi możliwość komunikacji z resztą, nic nie stoi na przeszkodzie aby zrobić z tego reguły na poszczególnych klientów zamiast /24 wskaż x.x.x.x/32
U mnie nie działa reguła nr 2.
Ruch między peerami jest zablokowany ale z odblokowanego peera nie mogę się połączyć z innymi peerami.
Tak jak by brakowało ruchu powrotnego.
Wie ktoś jak to poprawnie skonfigurować ? Ale tak aby PEER A mógł połączyć się z wszystkimi peerami a PEER BCD nie mógł się połączyć miedzy sobą i z PEERem A
IPSERWERA dla przykładu 10.9.0.1
PEER A dla przykładu 10.9.0.2
PEER B 10.9.0.3
PEER C 10.9.0.4
Tak PEER A będzie miał dostęp do wszystkich innych PEER'ow
PostUp = iptables -I FORWARD -i wg0 -s 10.9.0.2/32 -d 10.9.0.0/24 -j ACCEPT
Tak PEER B będzie miał dostęp tylko do PEER C
PostUp = iptables -I FORWARD -i wg0 -s 10.9.0.3/32 -d 10.9.0.4/32 -j ACCEPT
I tak dalej i dalej.
Ja mam pytanie o wireguard na Luci na accesspoincie (bez NATa). Czy w trybie samego AP jest zasadność tworzenia kanału?
Dodałem luci-proto-wireguard, używam pliku .conf sprawdzonego na sąsiednim hoście, handshake niby jest ale pingi nie lecą.
Czy w Luci jeszcze coś się ustawia dodatkowo, strefy zapory itp ??
Zależy co chcesz z tym wg zrobić. Jak tylko mieć dostęp do ap to tak. Jak wychodzić w sieci lan to musisz jeszcze maskaradę na lan zrobić.
Strefę powinieneś zrobić i zezwolić na pingu lub zrobić accept na input.
Zależy co chcesz z tym wg zrobić. Jak tylko mieć dostęp do ap to tak. Jak wychodzić w sieci lan to musisz jeszcze maskaradę na lan zrobić.
Strefę powinieneś zrobić i zwzwolić na pingu lub zrobić accept na input.
Tak po prostu. Chciałbym aby hosty łączące się przez ten AP miały możliwość gadania ze zdalnym lanem. Mam już kilka takich nodów, tylko w luci czegoś nie zrobiłem. Ok rozumiem zatem, że wersja dla luci niczego automatycznie z firewallem nie robi.
Nie, luci to tylko śmieszna nakładka na uci. Samo w sobie nie zmienia działania mechanizmów systemu.
Zgadza się i co dziwne - DZIAŁA !!!
Dzięki podwójnej maskaradzie Hosty połączone po WiFi z AP, na którym jest wireguard pingują innych klientów WG oraz ich podsieci. A także, mimo że ten AP nie jest ruterem, ping od zdalnych urządzeń do hostów połączonych po WIFI do tego AP też przechodzi.
Gdyby ktoś pytał to tak jak Cezary podpowiedział, tak można uczynić bez konieczności trasowania na głównej bramie (takiej brzydkiej bez linuxa):
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lan'
--> option masq '1'
config zone
option name 'wg'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
--> option masq '1'
list network 'wg0'Strony Poprzednia 1 … 4 5 6
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Serwer micrus frog - wireguard
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc