1 Temat przez pinix (edytowany przez pinix 2021-10-08 15:25:33)

  • pinix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-09-11
  • Posty: 30

Temat: Tunel wireguard na urządzenie wewnątrz sieci LAN

Próbuje zestawić połączenie do mojej sieci LAN ale z wykorzystaniem urządzenia wewnątrz sieci już za głównym routerem. Router jest dostawcy i z uwagi na obsługę WiFi-6 nie chcę go zastępować niczym innym. Do dystrybucji WiFi w dalszej części domu mam dwa Netgear-y 6220 z OpenWrt (21.02-SNAPSHOT r16295-3a051a234). Ustawione jako Access Point.

Tworzę tunel według opissu z poradnika. Nie dodaję reguł firewall dla WAN i nic to nie wnosi. Zestawiam tunel. Mam dostęp do urządzenia i do głównego routera (adres gateway). Jednakże do żadnego innego urządzenia.
Klient jest skonfigurowany tak, aby miał dostęp do całej podsieci. 192.168.30.0/24.

Pomożecie

2 Odpowiedź przez xrace

  • xrace
  • Użytkownik
  • Nieaktywny
  • Skąd: Wrocław
  • Zarejestrowany: 2010-03-22
  • Posty: 162

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

pokaz konfiguracje bo bez tego nic nie wywróżymy smile

3 Odpowiedź przez pinix

  • pinix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-09-11
  • Posty: 30

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Oto moja konfiguracja.

dhcp.@dnsmasq[0]=dnsmasq
dhcp.@dnsmasq[0].domainneeded='1'
dhcp.@dnsmasq[0].boguspriv='1'
dhcp.@dnsmasq[0].filterwin2k='0'
dhcp.@dnsmasq[0].localise_queries='1'
dhcp.@dnsmasq[0].rebind_protection='1'
dhcp.@dnsmasq[0].rebind_localhost='1'
dhcp.@dnsmasq[0].local='/lan/'
dhcp.@dnsmasq[0].domain='lan'
dhcp.@dnsmasq[0].expandhosts='1'
dhcp.@dnsmasq[0].nonegcache='0'
dhcp.@dnsmasq[0].authoritative='1'
dhcp.@dnsmasq[0].readethers='1'
dhcp.@dnsmasq[0].leasefile='/tmp/dhcp.leases'
dhcp.@dnsmasq[0].resolvfile='/tmp/resolv.conf.d/resolv.conf.auto'
dhcp.@dnsmasq[0].nonwildcard='1'
dhcp.@dnsmasq[0].localservice='1'
dhcp.@dnsmasq[0].ednspacket_max='1232'
dhcp.@dnsmasq[0].rebind_domain='free.aero2.net.pl'
dhcp.lan=dhcp
dhcp.lan.interface='lan'
dhcp.lan.start='100'
dhcp.lan.limit='150'
dhcp.lan.leasetime='12h'
dhcp.lan.dhcpv4='server'
dhcp.lan.dhcpv6='server'
dhcp.lan.ra='server'
dhcp.lan.ra_flags='managed-config' 'other-config'
dhcp.lan.ignore='1'
dhcp.lan.dns_service='0'
dhcp.wan=dhcp
dhcp.wan.interface='wan'
dhcp.wan.ignore='1'
dhcp.odhcpd=odhcpd
dhcp.odhcpd.maindhcp='0'
dhcp.odhcpd.leasefile='/tmp/hosts/odhcpd'
dhcp.odhcpd.leasetrigger='/usr/sbin/odhcpd-update'
dhcp.odhcpd.loglevel='4'


firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[0].network='lan' 'wg0'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].src_ip='fc00::/6'
firewall.@rule[3].dest_ip='fc00::/6'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@rule[7]=rule
firewall.@rule[7].name='Allow-IPSec-ESP'
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].name='Allow-ISAKMP'
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@rule[9]=rule
firewall.@rule[9].name='Support-UDP-Traceroute'
firewall.@rule[9].src='wan'
firewall.@rule[9].dest_port='33434:33689'
firewall.@rule[9].proto='udp'
firewall.@rule[9].family='ipv4'
firewall.@rule[9].target='REJECT'
firewall.@rule[9].enabled='false'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'


network.loopback=interface
network.loopback.device='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.packet_steering='1'
network.globals.ula_prefix='fd85:a5cd:22fd::/48'
network.@device[0]=device
network.@device[0].name='br-lan'
network.@device[0].type='bridge'
network.@device[0].macaddr='00:60:70:80:33:FF'
network.@device[0].ports='lan1' 'lan2' 'lan3' 'lan4' 'wan' 'wg0'
network.lan=interface
network.lan.device='br-lan'
network.lan.proto='static'
network.lan.netmask='255.255.255.0'
network.lan.ip6assign='60'
network.lan.ipaddr='192.168.11.13'
network.lan.gateway='192.168.11.1'
network.lan.dns='192.168.11.1'
network.wg0=interface
network.wg0.proto='wireguard'
network.wg0.private_key='{klucz prywatny}'
network.wg0.listen_port='55055'
network.wg0.addresses='10.9.0.1/24'
network.@wireguard_wg0[0]=wireguard_wg0
network.@wireguard_wg0[0].description='Dell'
network.@wireguard_wg0[0].public_key='{klucz publiczny}'
network.@wireguard_wg0[0].allowed_ips='10.9.0.2/32'
network.@wireguard_wg0[0].route_allowed_ips='1'
network.@wireguard_wg0[0].persistent_keepalive='25'

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,911

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Czemu zrobiłeś bridge wg0 z lanem? I jednocześnie masz nadany adres na wg0?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez pinix (edytowany przez pinix 2021-10-07 19:51:50)

  • pinix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-09-11
  • Posty: 30

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Nie wiem. Kombinowałem trochę na oślep. Bez bridge z wg0 także mi to nie działa. Wyrzuciłem z konfiguracji sekcję firewall i nadal nic.

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,911

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Wywal ten wg0 z network z lanu i wywal go z firewalla z sekcji lan, zrób mu osobną sekcję . A później dodam option masq 1 do sekcji lan...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez pinix

  • pinix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-09-11
  • Posty: 30

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Czy nie mogę się obyć w ogóle bez sekcji firewall?

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,911

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Nie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez pinix

  • pinix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-09-11
  • Posty: 30

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Tak jak wspomniałem. Usunąłem sekcje firewall. Przywróciłem podstawowe ustawienia ale chyba to za mało, bo nadal nic.

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option synflood_protect '1'
    option forward 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'wg0'
    option masq '1'
    option name 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,911

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

W sekcji lan dodaj masq 1, już pisałem to.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez pinix

  • pinix
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2017-09-11
  • Posty: 30

Odp: Tunel wireguard na urządzenie wewnątrz sieci LAN

Faktycznie. Zadziałało.
Powiedzcie proszę czy powyższe ustawienie firewall jest wystarczające. Jeżeli na routerze po prostu przekierowałem port na AP z aktywnym interfejsem WireGuard

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option synflood_protect '1'
    option forward 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option masq '1'
    list network 'lan'

config zone
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'wg0'
    option name 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'