• Zarejestrowany: 2016-03-20
  • Posty: 42

Temat: Dwa interfejsy WAN i Wireguard

Cześć,

pytanie czy ktoś zna lepsze rozwiązanie. Mianowicie mam dwa WANy w routerze.

WAN1 - bez publicznego IP, metryka ustawiona na 1, aby ruch domyślnie szedł przez niego
WAN2 - z publicznym IP, metryka ustawiona na 2, aby ruch przez niego nie szedł domyślnie i był tylko do VPN

Teraz skonfigurowałem Wireguarda[serwer] na routerze według poradnika https://eko.one.pl/?p=openwrt-wireguard

Wszystko fajnie ale zauważyłem że ruch wireguard z klient[android] wpada na router i chce wyjść zgodnie z metrykami WAN1, przez co android nie może zestawić tunelu.

Rozwiązanie chałupnicze jakie mi przyszło do głowy to sprawdzić jakim adresem WAN wychodzi na świat mój telefon(klient). A ten adres wpisać jako statyczną trasę aby mój telefon kierował przez WAN2.

Wireguard zadział, ale na telefonie mam zmienne ip, więc rozwiązanie jest kiepskie kompletnie.
Czy ma ktoś lepsze pomysły?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: Dwa interfejsy WAN i Wireguard

Ustawienie przez iptables odpowiedniego znacznika (mark) na pakietach które pochodzą z wireguarda i wrzucanie takiego ruchu na wan2?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez xury

  • xury
  • xury
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-05-18
  • Posty: 501

Odp: Dwa interfejsy WAN i Wireguard

Zastanawiam się czy rozwiązanie podobne do tego z forum openwrt nie będzie dobre.
https://forum.openwrt.org/t/mark-incomi … le/48948/4

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: Dwa interfejsy WAN i Wireguard

O czymś takim właśnie napisałem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez a.stanczyk

  • Zarejestrowany: 2016-03-20
  • Posty: 42

Odp: Dwa interfejsy WAN i Wireguard

Moje rozwiązanie:

Markowanie pakietów z interfejsu wg0 '0xFA'

config interface 'wg0'
        option proto 'wireguard'
        option listen_port ''
        list addresses ''
        option private_key ''
        option fwmark '0xFA'

Oraz stworzenie tablicy i przekierowania.
Działa bez problemu

root@:~# echo "1 wireguard" >> /etc/iproute2/rt_tables
root@:~# ip route add default via 192.168.0.1 dev wan2 table wireguard
root@:~# ip rule add fwmark 0xFA lookup wireguard

@xury dzięki za link to mi skróciło szukanie

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: Dwa interfejsy WAN i Wireguard

A to na przyszłość się polecam: https://eko.one.pl/?p=openwrt-routing

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez szyper

  • szyper
  • Użytkownik
  • Nieaktywny
  • Skąd: mazowieckie równiny
  • Zarejestrowany: 2020-02-10
  • Posty: 476

Odp: Dwa interfejsy WAN i Wireguard

Mogę jeszcze pomęczyć temat - mam mianowicie trochę podobny ale inna zagwostkę z WG. Otóż załóżmy, że mamy 2x Wan z publicznym IP - czy da się sprytnie tak zrobić, żeby była jedna usługa WG i w zależności od padu jednego lub drugiego łącza można się było wbić na router?
Jak byście to ogarnęli ideowo najprościej?
Dzięki z góry!

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: Dwa interfejsy WAN i Wireguard

A nie jest tak domyślnie? Wireguard słucha na wszystkich interfejsach, więc jak masz dwa wany to będzie słuchał na tych wanach. Do którego się dołączysz to na tym będziesz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez szyper

  • szyper
  • Użytkownik
  • Nieaktywny
  • Skąd: mazowieckie równiny
  • Zarejestrowany: 2020-02-10
  • Posty: 476

Odp: Dwa interfejsy WAN i Wireguard

niby tak - ale moze podpowiedz gdzie sprawdzic zeby jednym Wanem wchodzilo i drugim nie wychodzilo.
Dzieki z gory!

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: Dwa interfejsy WAN i Wireguard

Powinno działać od ręki. Jeżeli nie to byś musiał markować przez iptables ruch przychodzący danym interfejsem i później tak oznaczone pakiety kierować znów na właściwy interfejs.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez szyper

  • szyper
  • Użytkownik
  • Nieaktywny
  • Skąd: mazowieckie równiny
  • Zarejestrowany: 2020-02-10
  • Posty: 476

Odp: Dwa interfejsy WAN i Wireguard

Hmm, slabo sie czuje z routingiem, niemniej sprawa wyglada tak ze na openwrt mam kilka WANow, uzywam MWAN (ktory tez ma swoje reguly notabene). I na jednym laczu (domyslnym) WG dziala, na drugim handshake nie dostaje niestety...
Jak to przesledzic - jakas podpowiedz Cezary? Dzieki za takie laickie pytanie - czy mam listowac tabele iptables czy moze jakies inne narzedzie?

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,877

Odp: Dwa interfejsy WAN i Wireguard

A to już tak prosto nie będzie bo mwan3 sam z siebie oznacza pakiety na swoje potrzeby. Sugerował bym żebyś zadał to pytanie opiekunowi pakietu mwan3 jak to pożenić razem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez szyper

  • szyper
  • Użytkownik
  • Nieaktywny
  • Skąd: mazowieckie równiny
  • Zarejestrowany: 2020-02-10
  • Posty: 476

Odp: Dwa interfejsy WAN i Wireguard

Tak cos czulem, ze jest roznica...hmm no coz bede walczyl z mwanem, dzieki za rozjasnienie, bo troche bylem w kropce!