26 Odpowiedź przez gonzales (edytowany przez gonzales 2022-01-29 23:14:07)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

Czego nie rozumiem napiszę jak już to zrozumię (jeżeli to zrozumię big_smile).

Na chwilę obecną czytam, rozkminiam i testuję co z tego wyjdzie.

Jak sam zauważyłeś u mnie tzw. serwer wireguard jest zwykłym hostem za NAT-em w routerze nie na openwrt (pracuje jako AP - router R1) i to już działa.

Skoro wireguard działa na zasadzie point-multipoint tzn. nie ma "klasycznego serwera i klienta" to czy mogę dla sieci gościnnej skonfigurować serwer DHCP na routerze R2 stanowiącym gateway dla zdalnej lokalizacji - będącym jednocześnie klientem WG z routera R1 - tzw. serwera WG?
Czy nie ma takiej potrzeby i mogę ustawić DHCP dla sieci gościnnej na routerem R1 - mimo iż on ma wyłączone DHCP (pracuje jako głupi AP za routerem bez openwrt).

Chcę uzyskać połączenie sieci gościnnych połączonych przez GRE i to "pchane" przez wireguard.

Tylko nie wiem jak ustawić/gdzie ustawić DHCP server i DHCP forward dla sieci gościnnych?
Czy muszę dokonać ustawień nazwijmy to specyficznych?
Lub inaczej w związku z trybem pracy routera R1 czy ma wpływa na adresowanie hostów w sieciach gościnnych?

27 Odpowiedź przez mar_w (edytowany przez mar_w 2022-01-30 01:14:34)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

Jak zrobisz tak będziesz miał.
Na R1 który jest zwykłym AP i serwerem WG możesz uruchomić serwer DHCP tylko dla nowej sieci Guest. Zwykły AP w sieci LAN nie musi mieć wyłączonego serwera DHCP dla innej sieci którą "przypadkowo" obsługuje.
Musi mieć wyłączony serwer DHCP tylko dla sieci którą rozgłasza jako głupi AP żeby nie popaść w konflikt z nadrzędnym routerem.

Drugi router R2 pobierze sobie adres dla Guesta na wcześniej zestawionym tunelu WG między R1 i R2.
Lub odwrotnie.
Na pewno na dowolnym R musisz podać statyczny adres IP dla sieci Guesta i uruchomić na nim serwer DHCP, a inny router (peer WG) niech sobie pobiera automatycznie jak to zrobił @imkebe
Skoro działa tunel WG i peery się widzą to powinny zobaczyć się po GRE-TAP.

A jeżeli nie potrzebujesz Wifi dla Guesta to:
- nie rób bridge między GRE i Wi-Fi,
- zepnij końcówki tunelu na statycznych IP i
- w ogóle nie włączaj serwera DHCP dla sieci Guest.
Bo ten serwer DHCP na Guest to jest najbardziej potrzebny dla klientów Wi-Fi (żeby podali tylko hasło do Wi-Fi - jak to zwykle bywa - a resztę dostali z automatu)

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

28 Odpowiedź przez gonzales (edytowany przez gonzales 2022-01-30 22:41:56)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

Być może potem zrezygnuję z wifi ale obecnie chcę dla zdobycia doświadczenia powalczyć z opcją DHCP dla guest.
A piszę powalczyć bo nigdy nie miałem potrzeby uruchamiania sieci gościnnej więc nie mam żadnych doświadczeń w tym zakresie i coś mam namieszane na chwilę obecną.

Czyli sieć guest ma być zmostkowana z wireguard a w firewall'u ma być zrobiony forwarding pomiędzy guest a wg i wg a guest?

Założenie jest takie, że Router R1 będzie serwerem DHCP dla sieci guest, którą chcę udostępnić poprzez "wirtualny" AP po jednej stronie wg.

Po drugiej stronie wg "wirtualny" AP ma pobierać adresację z R1.

Ustawienia wkleję jutro jeżeli niczego satysfakcjonującego nie osiągnę.

29 Odpowiedź przez gonzales (edytowany przez gonzales 2022-01-31 18:49:22)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

Co jest źle, że sieć gościnna nie działa - router R1 "głupi AP"?

Obstawiam, że mam coś namieszane w firewall i w mostkowaniu interejsów fizycznych/wirtualnych.

Sieć gościnna ma być połączona z interfejsem GRE, który ma przechodzić przez wireguard.

Robię z konsoli, modyfikuję w LUCI i ...

network

config interface 'gt'  /interfejs GRE
    option proto 'gretap'
    option ipaddr '10.9.0.1' //"serwer wg0"
    option peeraddr '10.9.0.6' //"klient wg0"
    option network 'guest'

config interface 'guest'
    option proto 'static'
    option type 'bridge'
    option ipaddr '172.16.0.1' // adres ip serwera dhcp sieci gościnnej
    option netmask '255.240.0.0'
    option ifname '@gt'

dhcp

config dhcp 'guest'
    option interface 'guest'
    option start '100'
    option limit '10'
    option leasetime '12h'

firewall

config zone
    option name 'guest'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'guest'

config forwarding
    option src 'guest'
    option dest 'wan'  // tutaj ma być wan, gt czy wg0?

wireless - sieć guest tylko na 2,4Ghz

config wifi-device 'radio0'
    option type 'mac80211'
    option channel '11'
    option hwmode '11g'
    option path 'pci0000:00/0000:00:01.0/0000:02:00.0'
    option htmode 'HT40'
    option country 'PL'
    option disabled '0'

config wifi-iface 'default_radio0'
    option device 'radio0'
    option mode 'ap'
    option encryption 'psk2+tkip+ccmp'
    option ssid 'nazwa sieci wifi'
    option key 'hasło'
    option network 'lan'

config wifi-device 'radio1'
    option type 'mac80211'
    option channel '36'
    option hwmode '11a'
    option path 'pci0000:00/0000:00:00.0/0000:01:00.0'
    option htmode 'VHT80'
    option country 'PL'

config wifi-iface 'default_radio1'
    option device 'radio1'
    option mode 'ap'
    option encryption 'psk2'
    option ssid 'nazwa sieci wifi'
    option key 'hasło'
    option network 'guest'

config wifi-iface 'guest'
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'nazwa_sieci_gościnnej'
    option encryption 'psk2'
    option key 'hasło'

30 Odpowiedź przez mar_w (edytowany przez mar_w 2022-02-01 00:26:28)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

Powiem Ci, że dziwnie to wszystko robisz, jak się tak patrzy od podstaw. Tak jakbyś chciał od razu zdobyć cały świat ... a jak sam piszesz:

gonzales napisał/a:

Być może potem zrezygnuję z wifi ale obecnie chcę dla zdobycia doświadczenia powalczyć z opcją DHCP dla guest.
A piszę powalczyć bo nigdy nie miałem potrzeby uruchamiania sieci gościnnej więc nie mam żadnych doświadczeń w tym zakresie i coś mam namieszane na chwilę obecną.
...

Nie mając doświadczenia (ja też go nie mam) dziwnie wygląda wybór maski /12 z ponad milionem hostów w sieci, które chcesz spinać tunelem GRE, a potem zakładasz lejce na 10 hostów big_smile.

option ipaddr '172.16.0.1' // adres ip serwera dhcp sieci gościnnej
    option netmask '255.240.0.0'
    option ifname '@gt'

dhcp

config dhcp 'guest'
    option interface 'guest'
    option start '100'
    option limit '10'

Jak się bawić to się bawić, od razu dawaj 0,5 miliona.
nie wiem czy była to wiedza, czy szczęśliwie wybrałeś 172.16.0.1 bo przy adresie 192.168.0.1 to pierwszego klienta po DHCP dostałbyś z adresem 192.160.0.100 i ciekawe czy byś wpadł na taki adres wink
Oczywiście Twoja konfiguracja na tej masce /12 też będzie chodzić bardzo dobrze.
PS. A jak masz te milion hostów w sieci to dla zabawy wystartuj sobie od 10000 

config dhcp 'guest'
    option interface 'guest'
    option start '10000'

i dostaniesz na kliencie łatwy do zapamiętania adres np. 172.16.39.17 big_smile (i sam widzisz jaki to bezsens)

Potraktuj to co napisałem jako dobrą radę, że pierwsze konfiguracje robi się raczej na najbardziej standardowych maskach /24 bo kiedyś się zgubisz.

######################################################################################

Wracając do tematu to w konfigu podaj jawnie interfejs tunelu opcją:

config interface 'gt'  /interfejs GRE
    option proto 'gretap'
    option ipaddr '10.9.0.1' //"serwer wg0"
    option peeraddr '10.9.0.6' //"klient wg0"
    option tunlink 'wg0'  //"pod warunkiem że wg0 to interfejs wireguarda. Jeżeli masz inną nazwę, bo lubisz być oryginalny, to ustaw tak jak masz u Siebie"

moim zdaniem nie musisz pisać:

config interface 'gt'  /interfejs GRE
...
option network 'guest'

#######     ponieważ poniżej odwołujesz się do '@gt'
config interface 'guest'
    ...
    option ifname '@gt'

gonzales napisał/a:

wireless - sieć guest tylko na 2,4Ghz

config wifi-device 'radio0'
    option type 'mac80211'
    option channel '11'
    option hwmode '11g'
    option path 'pci0000:00/0000:00:01.0/0000:02:00.0'
    option htmode 'HT40'
    option country 'PL'
    option disabled '0'

....

config wifi-device 'radio1'
    option type 'mac80211'
   option channel '36'
    option hwmode '11a'
    option path 'pci0000:00/0000:00:00.0/0000:01:00.0'
    option htmode 'VHT80'
    option country 'PL'

config wifi-iface 'default_radio1'
   option device 'radio1'
    option mode 'ap'
    option encryption 'psk2'
    option ssid 'nazwa sieci wifi'
    option key 'hasło'
    option network 'guest'

config wifi-iface 'guest'
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'nazwa_sieci_gościnnej'
    option encryption 'psk2'
    option key 'hasło'

Na marginesie:  sam nie wiesz co lata u Ciebie w eterze big_smile

1. Pamiętaj że GRE wstaje najpóźniej, ponieważ najpierw musi zestawić się tunel WG.
2. Pamiętaj że pingi do sieci LAN za peerami WG będą szły tunelem WG a nie GRE, ponieważ wynika to z tabeli routingu na każdym peer-rze WG. Chyba że sobie przekonfigurujesz wszystkie zabawki.
3. Najpierw pinguj bezpośrednią i najbliższą końcówkę tunelu GRE np. 172.16.0.100 (bo taki masz start)
4. A tam gdzie masz serwer DHCP dla Guest (pewnie na "głupim" AP) to podejdź z klientem Wifi i sprawdź czy dostaniesz adres do Guest-a. Co jak co, ale bezpośrednio przy serwerze DHCP powinieneś dostać jakiś adres.
I pamiętaj, że ten klient Wifi nie będzie w tunelu GRE tylko zwykłym klientem spiętym z AP-Guest.
5. Dopiero klient Wifi, który będzie przy innym AP gdzieś w zdalnej lokalizacji powinien "iść przez tunel"

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

31 Odpowiedź przez gonzales (edytowany przez gonzales 2022-02-01 22:51:57)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

mar_w napisał/a:

4. A tam gdzie masz serwer DHCP dla Guest (pewnie na "głupim" AP) to podejdź z klientem Wifi i sprawdź czy dostaniesz adres do Guest-a. Co jak co, ale bezpośrednio przy serwerze DHCP powinieneś dostać jakiś adres.
I pamiętaj, że ten klient Wifi nie będzie w tunelu GRE tylko zwykłym klientem spiętym z AP-Guest.
5. Dopiero klient Wifi, który będzie przy innym AP gdzieś w zdalnej lokalizacji powinien "iść przez tunel"


Ad. 4 tak klient wifi dostaje adres do guesta.

Ad. 5 powinien iść przez tunel ale nie chce się łączyć. Router R2 klient wg
nework

config interface 'gt'
    option proto 'gretap'
    option peeraddr '10.9.0.1'
    option ipaddr '10.9.0.6'
    option tunlink 'wg0'

config interface 'guest'
    option proto 'dhcp'
    option type 'bridge'
    option ifname '@gt'

wireless - tutaj jest tylko jedno radio 

config wifi-device 'radio0'
    option type 'mac80211'
    option channel '11'
    option hwmode '11g'
    option path 'platform/ahb/180c0000.wmac'
    option htmode 'HT40'
    option country 'PL'
    option disabled '0'

config wifi-iface
    option device 'radio0'
    option network 'lan'
    option mode 'ap'
    option ssid 'nazwa sieci zwykłej połączonej z LAN'
    option encryption 'psk2'
    option key 'hasło'

config wifi-iface 'guest'
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'goscinna_test'
    option encryption 'psk2'
    option key 'hasło'

i network po stronie serewra dhcp dla guest

config interface 'gt'
    option proto 'gretap'
    option ipaddr '10.9.0.1'
    option peeraddr '10.9.0.6'
    option tunlink 'wg0'


config interface 'guest'
    option proto 'static'
    option type 'bridge'
    option ipaddr '172.16.0.1/24'
    option ifname '@gt'

Ideą sieci gościnnej jest odizolowanie połączonych do niej klientów od pozostałych klientów wifi i sieci lan (jeżeli dobrze kojarzę).
Ustawiłem inne hasła dla sieci wifi "zwykłej" i gościnnej, więc dlaczego połączyli się do niej również klienci dotychczas połączeni do "zwykłej" sieci wifi?
Mam też połączonego jednego klienta do sieci guest z IP ale z "pustym" mac adresem 00.00.00.00.00.00.

32 Odpowiedź przez mar_w (edytowany przez mar_w 2022-02-02 00:23:24)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

Z tą maską mogłeś tak zostawić, chciałem Ci tylko  wspomnieć, że 12-sty bit to połowa drugiego oktetu, a więc kiedyś możesz dać się złapać, myśląc że jesteś w tej samej sieci. Tym bardziej że Openwrt jest czułe na ten temat. Najlepsze są maski /8 /16 /24 bo numery sieci są do pierwszej, drugiej lub trzeciej kropki w adresie ipv4. Łatwiej się ogarnia.

A tym razem zmieniłeś zapis w konfigach. Wcześniej miałeś (pomijając tą dziwną maskę):

option ipaddr '172.16.0.1' 
    option netmask '255.240.0.0'

a teraz masz:

 option ipaddr '172.16.0.1/24'

widzisz różnicę?
czemu zmieniasz wszystko na raz, zamiast małymi krokami po kolei?
nie możesz zapisać po ludzku?

option ipaddr '172.16.0.1' 
option netmask '255.255.255.0'

musi działać, jeżeli wg0 to są interfejsy tunelu na obu końcach. Pięknie idzie DHCP ale trwało to jakiś czas może 30-50 sekund:

# tcpdump -i br-guest port 67 and 68
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-guest, link-type EN10MB (Ethernet), capture size 262144 bytes
23:44:26.038696 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from xx:xx:xx:xx:xx:xx (oui Unknown), length 300
23:44:29.044962 IP R1.lan.67 > 172.16.39.16.68: BOOTP/DHCP, Reply, length 300
23:44:29.061869 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from xx:xx:xx:xx:xx:xx (oui Unknown), length 300
23:44:29.062622 IP R1.lan.67 > 172.16.39.16.68: BOOTP/DHCP, Reply, length 300
23:44:29.093904 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from xx:xx:xx:xx:xx:xx (oui Unknown), length 300
23:44:29.094926 IP R1.lan.67 > 172.16.39.16.68: BOOTP/DHCP, Reply, length 301
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel

A jeżeli nie hula, to na końcu tunelu GRE wpisz na próbę statyczny adres:

config interface 'guest'
    option proto 'static'
    option type 'bridge'
    option ipaddr '172.16.0.2'
    option netmask '255.255.255.0'
    option ifname '@gt'

a w firewallu ustaw na początek tylko strefę 'guest' ale bez żadnego forwardu do innych sieci. tylko to:

config zone
    option name        guest
    list   network        'guest'
    option input        ACCEPT
    option output        ACCEPT
    option forward        ACCEPT

i najpierw sprawdź czy jest ping na druga stronę tunelu do routera R2
A oto powinienem zapytać na początek. CZY MASZ WSZYSTKIE POTRZEBNE PAKIETY NA OBU KOŃCACH TUNELU?
pokaż 

# opkg list-installed | grep gre
# ip a | grep -e gre -e wg0
Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

33 Odpowiedź przez gonzales (edytowany przez gonzales 2022-02-02 20:59:50)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

mar_w napisał/a:

A tym razem zmieniłeś zapis w konfigach. Wcześniej miałeś (pomijając tą dziwną maskę):

option ipaddr '172.16.0.1' 
    option netmask '255.240.0.0'

a teraz masz:

 option ipaddr '172.16.0.1/24'

widzisz różnicę?
czemu zmieniasz wszystko na raz, zamiast małymi krokami po kolei?
nie możesz zapisać po ludzku?

option ipaddr '172.16.0.1' 
option netmask '255.255.255.0'

Szczerze mówiąc to na początku miałem zapisane "po ludzku" z tego co pamiętam i potem zmieniłem.
Czy widzę różnicę? Nie. Myślałem, że te zapisy są tożsame.
A teraz jak zmieniłem tak jak zasugerowałeś to straciłem łączność z R1.

Przypominam sobie teraz tryb failsafe ale bez powodzenia.
Także do czasu przywrócenia do życia R1 - pauza w temacie.

Pakiety mam raczej wszystkie potrzebne:

root@OpenWrt:~# opkg list-installed | grep gre
gre - 1-11
kmod-gre - 4.14.221-1
kmod-gre6 - 4.14.221-1

to R2 czyli stary 1043 bez Luci (niestety dla mnie)

na R6220 - R1 dodatkowo pakiet Luci do GRE.

A tak przy okazji, muszę dodać do allowed ip wireguard'a adresy na interfejsie GRE - naprzemiennie?
Czyli w serwerze wg - statyczne ip guest (GRE) 172.16.0.2 a w kliencie wg serwer dhcp dla guest (GRE) 172.16.0.1?

34 Odpowiedź przez Cezary (edytowany przez Cezary 2022-02-02 20:56:23)

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Przepychanie/most przez VPN

Ten drugi zapis jest wprowadzony przez luci. I tak, można go używać zamiennie w openwrt (oczywiście nie piszę tu o różnych maskach tylko o sposobie zapisu).

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

35 Odpowiedź przez gonzales (edytowany przez gonzales 2022-02-02 21:06:24)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

Cezary napisał/a:

(oczywiście nie piszę tu o różnych maskach tylko o sposobie zapisu).

Tak, po chwili zastanowienia domyśliłem się o czym piszesz big_smile

@Cezary a możesz rzucić okiem na post 31. Pytam o to jakim sposobem po utworzeniu sieci guest połączyli się do niej klienci zwykłej sieci wifi? Skoro hasła są w nich różne.

36 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

Niby wchodzę do routera i mam dostęp do plików konfiguracyjnych ale zmiany się chyba nie zapisują.

root@(none):~# cat /proc/mtd
dev:    size   erasesize  name
mtd0: 00100000 00020000 "u-boot"
mtd1: 00100000 00020000 "SC PID"
mtd2: 00400000 00020000 "kernel"
mtd3: 01c00000 00020000 "ubi"
mtd4: 00100000 00020000 "factory"
mtd5: 03c00000 00020000 "reserved"
root@(none):~# mount_root
loading kmods from internal overlay
loading kmods from internal overlay
switching to ubifs overlay
root@(none):/rom/root# cat /proc/mtd
dev:    size   erasesize  name
mtd0: 00100000 00020000 "u-boot"
mtd1: 00100000 00020000 "SC PID"
mtd2: 00400000 00020000 "kernel"
mtd3: 01c00000 00020000 "ubi"
mtd4: 00100000 00020000 "factory"
mtd5: 03c00000 00020000 "reserved"
root@(none):/rom/root# mount -t jffs2 /dev/mtdblock3 /overlay
mount: mounting /dev/mtdblock3 on /overlay failed: I/O error

37 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Przepychanie/most przez VPN

Przecież masz tam kontenery ubi z ubifs a nie jffs2 bezpośrednio we flash/. mount_root zrób zamiast ręcznego montowania.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

38 Odpowiedź przez gonzales (edytowany przez gonzales 2022-02-04 09:15:35)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

@mar_w okazuje się, że jednak koncepcja z siecią gościnną na routerze robiącym  za AP odpada. Sądząc po postach z tego wątku:
https://eko.one.pl/forum/viewtopic.php? … 40#p263840

W takim razie pozostaje mi uruchomienie na R6220 routingu i wtedy podjęcie próby spięci sieci guest z wg i gre. Chyba, że mnie  oświecisz i podrzucisz inny pomysł jak to skonfigurować.

39 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

Sorry, za te wrzutki, bo chciałem żebyś to robił prawilnie i spokojnie jak w poradniku:
https://openwrt.org/docs/guide-user/bas … figuration
bo jak coś się robi na kilka sposobów trochę z Luci, trochę z terminala to można się zagubić. 

Nie widzę problemu, żeby serwer DHCP dla Guesta był razem z serwerem WG na jednym głupim AP w sieci LAN.
Ale mogłem coś przeoczyć i nie sprawdzić wszystkich opcji.

Głupi AP rozgłasza 2 sieci Wifi: LAN1 i Guest.
Łączę się z Wifi-LAN1 i dostaję adres z puli LAN1. Mogę pingować hosty LAN1, tunel, hosty LAN2, bo tak zezwoliłem.
Nie mogę pingować Guest-a.
Rozłączam się z Wifi-LAN1 i łączę z Wifi-Guest i dostaję adres z puli Guest.
Mogę pingować tylko sieć Guest i jeden adres tunelu (10.9.0.1), tam gdzie jest brama i serwer DHCP do sieci Guest. Nie mogę pingować ani LAN1 ani LAN2.

Na drugim końcu tunelu WG jest peer WG+GRE i on też rozgłasza 2 sieci Wifi: swoją LAN2 i Guest.
Łączę się z Wifi-LAN2 i dostaję adres z puli LAN2. Mogę pingować hosty LAN2, tunel, hosty LAN1, bo tak zezwoliłem.
Nie mogę pingować Guest-a.
Rozłączam się z Wifi-LAN2 i łączę z Wifi-Guest i dostaję adres z puli Guest ze zdalnego serwera - z tego głupiego AP-ka.
Mogę pingować tylko sieć Guest  i jeden adres tunelu (10.9.0.1), tam gdzie jest brama i serwer DHCP do sieci Guest . Nie mogę pingować ani LAN1 ani LAN2.

Temat który podlinkowałeś dotyczy sytuacji, gdzie w jednym kablu ktoś chce puścić 2 odizolowane sieci.
A u Ciebie druga sieć idzie w tunelu czyli jakby w odizolowanym kablu smile

Nie wiem co Ty żeś tam pospinał ze sobą w mosty lub strefy firewalla, bo miałeś zapędy, żeby wszystko razem łączyć.
A co dokładnie potrzebujesz?

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

40 Odpowiedź przez gonzales (edytowany przez gonzales 2022-02-05 22:20:32)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

mar_w napisał/a:

Głupi AP rozgłasza 2 sieci Wifi: LAN1 i Guest.
Łączę się z Wifi-LAN1 i dostaję adres z puli LAN1. Mogę pingować hosty LAN1, tunel, hosty LAN2, bo tak zezwoliłem.
Nie mogę pingować Guest-a.
Rozłączam się z Wifi-LAN1 i łączę z Wifi-Guest i dostaję adres z puli Guest.
Mogę pingować tylko sieć Guest i jeden adres tunelu (10.9.0.1), tam gdzie jest brama i serwer DHCP do sieci Guest. Nie mogę pingować ani LAN1 ani LAN2.

Na drugim końcu tunelu WG jest peer WG+GRE i on też rozgłasza 2 sieci Wifi: swoją LAN2 i Guest.
Łączę się z Wifi-LAN2 i dostaję adres z puli LAN2. Mogę pingować hosty LAN2, tunel, hosty LAN1, bo tak zezwoliłem.
Nie mogę pingować Guest-a.
Rozłączam się z Wifi-LAN2 i łączę z Wifi-Guest i dostaję adres z puli Guest ze zdalnego serwera - z tego głupiego AP-ka.
Mogę pingować tylko sieć Guest  i jeden adres tunelu (10.9.0.1), tam gdzie jest brama i serwer DHCP do sieci Guest . Nie mogę pingować ani LAN1 ani LAN2.

I ta koncepcja mi się podoba i coś takiego próbowałem osiągnąć ale się tak "zmostkowałem", że kręcę się w kółko.

mar_w napisał/a:

Temat który podlinkowałeś dotyczy sytuacji, gdzie w jednym kablu ktoś chce puścić 2 odizolowane sieci.
A u Ciebie druga sieć idzie w tunelu czyli jakby w odizolowanym kablu smile

Nie wiem, nie znam się, ale przeczytaj posty (12-16) @jaro44 i odpowiedzi @Cezarego. Pewnie masz rację i da się tak to skonfigurować ale trzeba zacząć od początku.

U mnie wprawdzie sytuacja jest nieco inna, bo router operatora jest w trybie bridge (czyli tak jakby go nie było - jest przeźroczysty - a nie miałem pomysłu, żeby wykorzystać jego switch, tak jak chciał to zrobić @jaro44), obsługą połączenia PPPoE zajmuje się tp-link ze fabrycznym softem tworzący LAN i wi-fi dla "normalnych" domowników a potem jest router do eksperymentów dla mnie - w tej chwili R6220.

Być może nie zrozumiałem wpisu @Cezarego z postu 13, ale założyłem, że bez utworzenia VLAN na tp-linku i jego dalszym "pokierowaniu" tym dedykowanym VLAN-em przez R6220 do gościnnej sieci wi-fi nie uzyskam odizolowanej sieci gościnnej, którą będę mógł zmostkować z wg i gre. Pewnie się zapętliłem ale myślałem, że muszę "przestawić" R6220 z trybu głupiego AP na normalny router tzn, z NAT-em. Chociaż na tp-linku stanowiącym u mnie router brzegowy VLAN-y mogę tworzyć.

mar_w napisał/a:

Nie wiem co Ty żeś tam pospinał ze sobą w mosty lub strefy firewalla, bo miałeś zapędy, żeby wszystko razem łączyć.

Tego to i ja teraz nie wiem więc skończy się na firstboot.

mar_w napisał/a:

A co dokładnie potrzebujesz?

Chciałem uzyskać dodatkową sieć z taką samą adresacją (może być po kablu, może po wifi) - [do tego zakładam mam wykorzystać  GRE] - połączoną poprzez tunel wireguard. W sumie to ta nowa sieć tzw. gościnna nie musi być odizolowana od LAN-ów po żadnej ze stron tunelu.

41 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

tylko jest jeden problem... smile
gdy mamy 2 urządzenia po wifi, jeden przy serwerze DHCP-Guest, a drugi za zdalnym peerem WG, czyli:
Wifi <-> GRE_in_WG <-> Wifi
to pingi idą fajnie gdy MTU ustawi się na 1200, ale gdy już przestawimy na 1400 to z racji tego że interfejs gre4t-gretap ma MTU 1280, to niestety nie umie tego podziałkować.
Na pewno chcesz taki tunel?

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

42 Odpowiedź przez gonzales (edytowany przez gonzales 2022-02-06 01:21:14)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

ale ja się zastanawiam jak ma firewall wyglądać czy gdzie ma być bridge czy forwarding zrobiony a Ty mi z MTU wyjeżdżasz. Oczywiście zwróciłem uwagę, że w tutorialach dot. GRE była mowa o konieczności jego zmiany ale mi to nic nie mówi big_smile
Wiem, że jest taka opcja ale do czego służy nie mam zielonego pojęcia. Na co na wpływ itd. itp.
Ta dodatkowa sieć może iść po kablu jezeli po wifi to problem. Ważne żeby była jedna adresacja na obu końcach tunelu. Nie chce używać pojęć, których nie ogarniam np.: broadcast czy multcast big_smile ale chyba o to chodzi mi.in. z tą jedna adresacja.

43 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

fajnie chodzi gretap. Idzie wszystko, ale chyba nie umie fragmentować pakietów smile
w sumie to nawet jak jeden jest po wifi a drugi za tunelem po kablu to też jest problem....
W systemach PC możesz zmusić kartę Wifi do zmiany MTU a w smartfonie to co zrobisz? Chyba że Twój może wszystko
Nie ma się co bawić w GRE gdy w grę wchodzą smartfony smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

44 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

Nie planuje korzystać ze smartfonów w GRE. To że obsługują wireguard mi wystarczy.
@imkebe zdaje się skonfigurował sobie GRE, tak że jemu to działa. Ty z GRE korzystasz?

45 Odpowiedź przez mar_w (edytowany przez mar_w 2022-02-09 18:38:35)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Przepychanie/most przez VPN

Kiedyś korzystałem (ale nie na Openwrt), i nie pakowałem tego w inny tunel tylko bezpośrednio p-t-p głównie po to, aby ukryć węzły sieci, przez które pakiet musiał być przekazywany.

A teraz to w ramach sportu chciałem sprawdzić taką kombinację smile
I jeżeli masz konfig podobnie to chociaż powinny iść pingi:

https://pastebin.com/sQqHgP2C

tylko że "network" robiłem wg nowego stylu z 21.02 (...sekcja device itp) pod stary styl 19.07 trzeba sobie przerobić
No i oczywiście główny router brzegowy na OFW musi mieć przekierowanie portów na tego głupiego AP-ka, który jest serwerem WG.

EDIT: wyedytowałem konfigi i teraz idzie wszystko OK. Jaki był problem?
Na telefonie z Androidem bez ROOT-a mam serwer FTP, który słucha na porcie 2221 z pasywnymi portami 2300-2500.
W sieci Wifi wszystko chodzi OK, ale gdy musiała nastąpić fragmentacja tego do tunelu GRE+WG, to ze względu na zmniejszone MTU nie następowało dzielenie pakietu z powodu flagi DF (dont fragment).
To samo było dla serwera WebDAV.

A teraz gdy wchodzi cały pakiet 1500, tunel GRE ma MTU 1560 a więc przyjmuje go w całości, następnie wpada to do WG z MTU 2800 i to on musi się martwić jak to fragmentować, żeby zmieścić się w WAN z MTU 1500 smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

46 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

root@OpenWrt:~# opkg update
Downloading https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/base/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/base/Packages.gz

Downloading https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz

Downloading https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/packages/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/packages/Packages.gz

Downloading https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/routing/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/routing/Packages.gz

Downloading https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/telephony/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/telephony/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/targets/ramips/mt7621/packages/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/targets/ramips/mt7621/packages/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/base/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/base/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/luci/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/luci/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/packages/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/packages/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/routing/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/routing/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/telephony/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/telephony/Packages.gz

Downloading https://dl.eko.one.pl/openwrt-21.02/targets/ramips/mt7621/kmods-5.4.182/Packages.gz
Failed to send request: Operation not permitted
*** Failed to download the package list from https://dl.eko.one.pl/openwrt-21.02/targets/ramips/mt7621/kmods-5.4.182/Packages.gz

Collected errors:
 * opkg_download: Failed to download https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/base/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/routing/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/telephony/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/targets/ramips/mt7621/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/base/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/luci/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/packages/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/routing/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/packages/mipsel_24kc/telephony/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

 * opkg_download: Failed to download https://dl.eko.one.pl/openwrt-21.02/targets/ramips/mt7621/kmods-5.4.182/Packages.gz, wget returned 4.
 * opkg_download: Check your network settings and connectivity.

jak sprawdzić co jest nie tak? Nie mogę zainstalować pakietu gre.

Na drugim routerze wszystko się wyświetla OK.
Czy wgranie raz jeszcze tego samego openwrt z zachowanie konfiguracji może naprawić nieprawidłowości?

47 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Przepychanie/most przez VPN

A ty masz internet w ogóle na tym routerze? Zrób 

cd /tmp; wget https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz

Albo coś masz zepsute z certyfikatami że z https nie ściąga. Moje repo możesz zmienić na http, będzie działać. Z openwrt nie możesz tak zrobić.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

48 Odpowiedź przez gonzales (edytowany przez gonzales 2022-04-13 20:17:33)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

według mnie mam internet 

root@OpenWrt:~#  cd /tmp; wget https://downloads.openwrt.org/releases/21.02-SNAPS
HOT/packages/mipsel_24kc/luci/Packages.gz
Downloading 'https://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz'
Failed to send request: Operation not permitted

to tutaj mam pozmieniać adresy do repozytoriów?
/etc/opkg/distfeeds.conf

49 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,055

Odp: Przepychanie/most przez VPN

No nie pobiera ci wcale...

Tak, w tym pliku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

50 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Przepychanie/most przez VPN

A czy to nie wskazuje, że nawet po zmianie adresu nic się nie zmieni?

root@OpenWrt:/tmp# cd /tmp; wget http://downloads.openwrt.org/releases/21.02-SNA
PSHOT/packages/mipsel_24kc/luci/Packages.gz
Downloading 'http://downloads.openwrt.org/releases/21.02-SNAPSHOT/packages/mipsel_24kc/luci/Packages.gz'
Failed to send request: Operation not permitted