Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Łączenie sieci LAN wireguard
Strony Poprzednia 1 2 3 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
A w kwestii R6220 będącego serwerem WG można jakoś się z nim połączyć w celu cofnięcia ostatniej wprowadzonej zmiany?
Z tego co pamiętam to dopisałem
list addresses '192.168.1.20/32'
do:
list addresses '10.9.0.1/32'
w konfiguracji interfejsu wg0
EDIT:
Widziałem, że edytowałeś swój poprzednio post, działam z failsafe.
nie można cofnąć zmian np. tylko o jedną wstecz. Trzeba robić kopie konfigów po każdym wykonanym kroku.
Tak edytowałem, żeby podkreślić ważne rzeczy i niuanse.
Najlepiej zrób ten serwer WG jako klient w sieci LAN tak żeby móc dostać się z klientów WG -> do klientów LAN.
Takie coś już działało, a potem się zobaczy co dalej
PS4. Jeżeli w innej lokalizacji masz inną sieć np LAN2 i w niej jest klient WG który jest zwykłym hostem w sieci LAN2 to na innych hostach w sieci LAN2 też wpisz trasę do WG ale tym razem przez adres IP LAN2 klienta WG, skoro też nie możesz wpisać trasy na głównym routerze.
Nie, no teraz to przesadziłeś. 
Wszystko wydaje się ogarnięte, chociaż jak znam siebie to za jakiś czas pewnie będę zmieniał sprzęt albo wersję openwrt z 19.07 na 21 (Skoro istnieje opcja zmiany routera na inny sprzęt sieciowy nawet tylko z jednym portem LAN np. malina lub coś w tym stylu).
Klientami WG w lokalizacjach zdalnych są routery z openwrt więc praktycznie można tam skonfigurować wszystko - chociaż dla mnie najważniejsze tam jest czy cały ruch ma przechodzić przez VPN, czy tylko z konkretnych hostów. Routery z WG NAT-ują ruch w tamtych lokalizacjach.
Po stronie serwera ustawiłem na hoście (kliencie LAN) IP serwera WG jako bramę domyślną i mogę z niego dostać się do zdalnych sieci (klientów WG). I to chciałem osiągnąć ale jak widać po poświęconym na to dniu nie wiedziałem jak to zrobić - nie rozumiałem tego.
Teraz pytanie takie. Skoro ten host z którego nie mogłem się połączyć wymagał zmiany konfiguracji sieci to inne hosty w tej samej sieci LAN też muszę prze konfigurować, żeby bramą dla nich był właśnie host będący serwerem WG?
Problem rozwiązany ale wraz z kolejnymi zmianami sprzętowo-programowymi opisanymi powyżej na pewno będę jeszcze potrzebował pomocy.
Teraz mógłbym jeszcze próbować uwolnić nieużywany obecnie port WAN w R6220 tak, żeby stanowił całość z LAN ale w związku, że to wersja 19.07 a w nowych jest DSA to dam sobie spokój.
Generalnie panowie dziękuję za wszelką okazaną pomoc oraz wyrozumiałość i cierpliwość okazaną podczas rozwiązywania problemu.
...
Klientami WG w lokalizacjach zdalnych są routery z openwrt więc praktycznie można tam skonfigurować wszystko - chociaż dla mnie najważniejsze tam jest czy cały ruch ma przechodzić przez VPN, czy tylko z konkretnych hostów. Routery z WG NAT-ują ruch w tamtych lokalizacjach.Po stronie serwera ustawiłem na hoście (kliencie LAN) IP serwera WG jako bramę domyślną i mogę z niego dostać się do zdalnych sieci (klientów WG). I to chciałem osiągnąć ale jak widać po poświęconym na to dniu nie wiedziałem jak to zrobić - nie rozumiałem tego.
Teraz pytanie takie. Skoro ten host z którego nie mogłem się połączyć wymagał zmiany konfiguracji sieci to inne hosty w tej samej sieci LAN też muszę prze konfigurować, żeby bramą dla nich był właśnie host będący serwerem WG?
...
EDIT: co prawda edytowałem swoje posty ale ostatnia edycja i ostateczna wersja była przed 20:00 i głównie dopisywałem PS1-PS5.
Chodziło mi o 4-ty code: https://eko.one.pl/forum/viewtopic.php? … 31#p262031
Nie tak miało być u Ciebie. ja pisałem inaczej.
Będzie to działać, że z sieci LAN wyjdziesz do WG (sukces połowiczny, ale to nie miało być w tym stylu).
Konfig na klientach miał być w ostateczności (z powodu braku możliwości ustawienia trasy statycznej na głównym - jak pisałeś), ale miał być inaczej napisany np.
# ip r
default via 192.168.1.1 dev br-lan src 192.168.1.194 #### Internet przez główny router
10.8.0.0/24 via 192.168.1.50 dev br-lan ##### tunel przez hosta R6220
192.168.1.0/24 dev br-lan scope link src 192.168.1.194 #### sieć LAN przez interfejs LANWtedy wszystko na adres klienta tunelu WG wyjdzie przez serwer WG o adresie 192.168.1.50.
Internet byłby od razu przez główny router!
a Ty zrobiłeś:
# ip r
default via 192.168.1.50 dev br-lan ### wszystko do R6220, który nie ma WANu i on decyduje co dalej z pakietami.
192.168.1.0/24 dev br-lan scope link src 192.168.1.194 #### sieć LAN przez interfejs LANchyba, że ten host przerzuci pakiety do internetu na swoją bramę czyli główny router.
Zamieniłeś role routerów.
Normalnie to główny miał odbierać wszystkie pakiety i decydować:
1. czy są do Internetu i wypuszczać przez swój WAN
2. czy są do tunelu i kierować na router R6220
W ten sposób mając 200 hostów w LAN robisz konfig tylko na głównej bramie w jednym miejscu i tunel na R6220 - drugie miejce konfigu.
A teraz wszystko leci do R6220 i on decyduje czy:
1. Internet wysłać do głównego routera
2. tunel obsłużyć osobiście.
Problem w tym że hosty w LAN dostają adresy i bramę od głównego (a na nim nic konkretnego nie możesz zrobić) a nie od R6220 i dlatego trzeba każdego klienta LAN konfigurować indywidualnie.
Tzn. jeżeli naprowadzisz mnie, jak osiągnąć to o co Tobie chodziło to z chęcią tak to ustawię ale potrzebuję pomocy.
Ale zanim zaczniemy mieszać może sprawdźmy czy przypadkiem teraz nie jest tak jak miało być według Twoich założeń.
Co mam wpisać w konsoli, żeby sprawdzić co przez co leci?
Na głównym tp-linku też mogę spróbować ustawić routing statyczny ale potrzebuję wskazówek.
wejdź na dowolny klient w LAN (oprócz R6220) i pokaż tablicę routingu
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.20 192.168.1.39 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.39 281
192.168.1.39 255.255.255.255 On-link 192.168.1.39 281
192.168.1.255 255.255.255.255 On-link 192.168.1.39 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.39 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.39 281
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.20 Default
===========================================================================komputer z którego piszę to odpowiedni host?
Na dzisiaj pass. Jutro wrócimy do tematu jeżeli zechcesz. Dzięki.
Rozumiem że 192.168.1.20 to R6220 który jest serwerem WG i jest zwykłym klientem sieci LAN jakiegoś głównego routera?
Dokładnie tak jest. Z tym, że na tym kompie musiałem ustawić gateway właśnie na 192.168.1.20 żeby mieć dostęp do sieci WG.
Super!
Gdy chcesz się połączyć z tunelem 10.9.0.0/24 to wszystko idzie na R6220 (192.168.1.20) i on widząc adres DOCELOWY z sieci WG pcha wszystko w tunel. I działa.
Gdy chcesz się połączyć z Internetem to pakiet wysyłany jest również do R6220 (bo on jest domyślną bramą dla tego kompa) a on musi przerzucić pakiety na swoją bramę, czyli główny router. I też Internet powinien być.
No niby tak jest.
Poniżej routing z domyślnym ustawieniem połączenia sieciowego ale wtedy o ile do R6220(192.168.1.20) mogę się dostać to już do klientów WG w lokalizacjach zdalnym brak dostępu.
Cieszę się że działa ale zastanawia mnie jak uzyskać to o co tobie chodziło ale bez konieczności zmiany konfiguracji hostów pracujących w sieci LAN razem z serwerem WG?
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.39 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.39 281
192.168.1.39 255.255.255.255 On-link 192.168.1.39 281
192.168.1.255 255.255.255.255 On-link 192.168.1.39 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.39 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.39 281
===========================================================================
Persistent Routes:
None
Lepiej jakby tablica wyglądała tak:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.39 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.39 281
192.168.1.39 255.255.255.255 On-link 192.168.1.39 281
192.168.1.255 255.255.255.255 On-link 192.168.1.39 281
10.9.0.0 255.255.255.0 192.168.1.20 On-link 192.168.1.39
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.39 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.39 281
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.1 Default
===========================================================================
pod warunkiem że 192.168.1.1 to główny router
No właśnie ale jak to osiągnąć?
Gdzie i co mam dopisać, żeby tak to działało?
I to było to gorsze rozwiązanie. bo pisałeś że wywalił się w kosmos główny router. Za moment lepsze rozwiązanie.
Nie wiem jak w Windowsie dopisuje się trasy 
domyślną przez 192.168.1.20 potrafiłeś to i do tunelu też kiedyś spróbuj
Główny router wywaliłem w kosmos grzebiąc w jego routingu, niejako zbieg okoliczności.
Próbując ustawić routing statyczny.
A teraz ta lepsza wersja czyli 3. a)
Wejdź na router, odszukaj możliwość statycznego wpisywania tras i dopisz jako DODATKOWĄ trasę
Network: 10.9.0.0
netmask: 255.255.255.0
Gateway: 192.168.1.20
pod warunkiem że wpisałem rzeczywiście TWOJE prawidłowe adresy
ale musisz na kompie powrócić do tablicy routingu z tego posta:
https://eko.one.pl/forum/viewtopic.php? … 62#p262062
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.39 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.39 281
192.168.1.39 255.255.255.255 On-link 192.168.1.39 281
192.168.1.255 255.255.255.255 On-link 192.168.1.39 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.39 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.39 281
===========================================================================
Persistent Routes:
NoneTablica na kompie oczywiście zresetowana do domyślnej ale zanim dokonam zmian sprawdź wiadomości prywatne.
vice versa
a jak się okaże że zadziała to słabo czytałeś wczoraj: https://eko.one.pl/forum/viewtopic.php? … 96#p261996
i dzisiaj: https://eko.one.pl/forum/viewtopic.php? … 13#p262013
a po dodaniu maskarady w LAN powinien obowiązywać punkt 3a) lub od biedy punkt 3b) dużo gorsza opcja: https://eko.one.pl/forum/viewtopic.php? … 27#p262027
A jeżeli nie zadziała tzn że oprogramowanie TP-Linka trzeba zaktualizować, bo może już poprawili błąd skoro nie chce kierować pakietów do bramy WG.
A jeżeli jest najnowszy soft i dalej nic tzn że trzeba reklamować sprzęt który jest wadliwy. Może flash nie zapisuje ustawień...
Ustawienia się zapisały. Soft najnowszy jaki jest ale raptem to druga wersja od kiedy użytkuję router - dosyć krótko. Mogę podpiąć kiedyś przy okazji jakiś inny router z softem zamkniętym i sprawdzić czy działa.
Routing na R6220
root@OpenWrt:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 br-lan
10.9.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
10.9.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 wg0
10.9.0.3 0.0.0.0 255.255.255.255 UH 0 0 0 wg0
10.9.0.4 0.0.0.0 255.255.255.255 UH 0 0 0 wg0
10.9.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 wg0
10.9.0.6 0.0.0.0 255.255.255.255 UH 0 0 0 wg0
10.9.0.7 0.0.0.0 255.255.255.255 UH 0 0 0 wg0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.5.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.7.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
192.168.9.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
i firewall bo może tutaj mam co namieszane, tyle tych modyfikacji konfiguracji było robione.
root@OpenWrt:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].input='ACCEPT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@defaults[0].flow_offloading='1'
firewall.@defaults[0].flow_offloading_hw='1'
firewall.@defaults[0].synflood_protect='1'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[0].network='lan'
firewall.@zone[0].masq='1'
firewall.@include[0]=include
firewall.@include[0].path='/etc/firewall.user'
firewall.@rule[0]=rule
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='55055'
firewall.@rule[0].name='wireguard'
firewall.@rule[0].src_port='55055'
firewall.@rule[0].dest='lan'
firewall.@rule[0].src='wg'
firewall.@rule[0].dest_ip='192.168.1.1'
firewall.@rule[0].src_ip='192.168.1.20'
firewall.@zone[1]=zone
firewall.@zone[1].name='wg'
firewall.@zone[1].input='ACCEPT'
firewall.@zone[1].forward='ACCEPT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].masq='1'
firewall.@zone[1].network='wg0'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='wg'
firewall.@forwarding[0].dest='lan'
firewall.@forwarding[1]=forwarding
firewall.@forwarding[1].src='lan'
firewall.@forwarding[1].dest='wg'dla mnie zbędne są te opcje poniżej ponieważ serwer WG jest już w sieci LAN i słucha adresie LAN i ma strefę wg i wszystko na ACCEPT:
firewall.@rule[0]=rule
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='55055'
firewall.@rule[0].name='wireguard'
firewall.@rule[0].src_port='55055'
firewall.@rule[0].dest='lan'
firewall.@rule[0].src='wg'
firewall.@rule[0].dest_ip='192.168.1.1'
firewall.@rule[0].src_ip='192.168.1.20'Najważniejsze jest przekierowanie na routerze Tp-Linka z OFW z Jego adresu WAN i portu 55055 do hosta 192.168.1.20 na port 55055
wyłącz flow offloading bo może on coś miesza i omija. Zawsze zdążysz włączyć jak zadziała
Routing na R6220 wygląda dobrze jak na zwykłego Hosta w sieci LAN
Przekierowanie portów na tp-link oczywiście jest włączone.
Czy z poniższego wynika, że po adresach VPN połączenie jest realizowane a na adresy LAN routerów nie mogę się dostać bo na klientach WG może nie być włączona maskarada?
C:\Users\sabek>tracert 10.9.0.2
Tracing route to 10.9.0.2 over a maximum of 30 hops
1 <1 ms 1 ms <1 ms 192.168.1.1
2 1 ms <1 ms 1 ms 192.168.1.20
3 22 ms 22 ms 22 ms 10.9.0.2
Trace complete.
C:\Users\sabek>tracert 10.9.0.4
Tracing route to 10.9.0.4 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 <1 ms <1 ms <1 ms 192.168.1.20
3 16 ms 16 ms 16 ms 10.9.0.4
Trace complete.
C:\Users\sabek>ping 10.9.0.2
Pinging 10.9.0.2 with 32 bytes of data:
Reply from 10.9.0.2: bytes=32 time=23ms TTL=63
Reply from 10.9.0.2: bytes=32 time=25ms TTL=63
Reply from 10.9.0.2: bytes=32 time=22ms TTL=63
Reply from 10.9.0.2: bytes=32 time=22ms TTL=63
Ping statistics for 10.9.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 22ms, Maximum = 25ms, Average = 23ms
C:\Users\sabek>ping 10.9.0.4
Pinging 10.9.0.4 with 32 bytes of data:
Reply from 10.9.0.4: bytes=32 time=18ms TTL=63
Reply from 10.9.0.4: bytes=32 time=17ms TTL=63
Reply from 10.9.0.4: bytes=32 time=18ms TTL=63
Reply from 10.9.0.4: bytes=32 time=17ms TTL=63
Ping statistics for 10.9.0.4:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 17ms, Maximum = 18ms, Average = 17ms
C:\Users\sabek>ping 192.168.9.1
Pinging 192.168.9.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
C:\Users\sabek>ping 192.168.7.1
Pinging 192.168.7.1 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.7.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),jeżeli chcesz pingować inne sieci z innymi klientami to musisz jeszcze dodać kolejne trasy na głównej bramie TP-linka z OFW.
Teraz Twój Windows wysyła pinga na 192.168.9.1 który idzie najpierw do bramy 192.168.1.1 a ona tylko wie o sieci 10.9.0.0/24 za hostem 192.168.1.20.
Tp-link nie wie co to za sieć i pewnie porzuca pakiety bo to jest klasa prywatna i nawet nie musi pchać do operatora bo tam ma publiczny adres na WAN
na czym polega myk?
wszyscy klienci w dowolnej sieciach LAN 7.1, 9.1, 4.1, mają standardową tablicę routingu
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.X.1 192.168.X.39 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.X.0 255.255.255.0 On-link 192.168.X.39 281
192.168.X.39 255.255.255.255 On-link 192.168.X.39 281
192.168.X.255 255.255.255.255 On-link 192.168.X.39 281
gdzie X - to końcowy adres sieci
I teraz wszyscy pchają kazdy pakiet spoza własnej sieci na swoją bramę. A tamte bramy nie wiedzą że jest taka akcja.
Komunikacja w jedną stronę będzie prawie zawsze działać dobrze: OD KLIENTA WG do klienta LAN za innym klientem WG bo tamten się podłoży z adresem.
Odwrotnie OD klienta LAN do innego klienta LAN za klientem WG są problemy na dzień dobry, zaczynając od routingu.
Albo ustawiasz odpowiednio bramę albo każdemu ze 100 klientów LAN robisz własną tablicę routingu.
Co innego komunikacja między klientami WG ponieważ oni wiedzą o tych sieciach ale hosty za klientami WG tego nie wiedzą.
Strony Poprzednia 1 2 3 Następna
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Łączenie sieci LAN wireguard
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc