1 (edytowany przez armen10 2022-09-28 14:11:36)

Temat: WireGuard server - klient

Cześć mam 2 routery:
- tp-link wdr4300 [server]
- tp-link mr3020 [klient]
Nie mogę sparować tych 2 urządzeń chociaż robię wg poradnika z forum [https://eko.one.pl/?p=openwrt-wireguard]

SERVER

root@OpenWrt_ODDK:~# cat /etc/config/network

config interface 'wg0'
        option proto 'wireguard'
        option private_key '0OZe1s57/p7dNuzImVObWmtWmDR2Ob9B7Z67SMK0O24='
        option listen_port '51820'
        list addresses '10.8.0.1/24'

config wireguard_wg0
        option public_key 'D83XmDy5uc3sQaCuWa08hb6ZwR2kMQdoDvZCJRDQ1S4='
        option route_allowed_ips '1'
        list allowed_ips '10.8.0.4/32'
        option persistent_keepalive '25'
        option description 'tp-mr3020'
        option endpoint_host 'xxxxx.noip.pl'

KLIENT

root@TL-MR3020:~# cat /etc/config/network

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'AKRhzI1PPdV/43I/Ze78RRGozux1DLZUchgbdNdZuUg='
        list addresses '10.8.0.4/32'
        option listen_port '51820'

config wireguard_wg0
        option route_allowed_ips '1'
        list allowed_ips '0.0.0.0/0'
        option endpoint_host 'xxxxx.noip.pl'
        option persistent_keepalive '25'
        option description 'tl-mr3020'
        option endpoint_port '51820'
        option public_key 'D83XmDy5uc3sQaCuWa08hb6ZwR2kMQdoDvZCJRDQ1S4='

config interface 'wwan'
        option proto 'dhcp'

Co tu może być nie tak ?
Z góry bardzo dziękuję za pomoc.

2

Odp: WireGuard server - klient

Klucze masz źle wpisane, masz to samo w 

option public_key 'D83XmDy5uc3sQaCuWa08hb6ZwR2kMQdoDvZCJRDQ1S4='

w kliencie i na serwerze a maja być klucze publiczne dla peerów i prywatne w interfejsach.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: WireGuard server - klient

Cezary napisał/a:

Klucze masz źle wpisane, masz to samo w 

option public_key 'D83XmDy5uc3sQaCuWa08hb6ZwR2kMQdoDvZCJRDQ1S4='

w kliencie i na serwerze a maja być klucze publiczne dla peerów i prywatne w interfejsach.

option public_key 'D83XmDy5uc3sQaCuWa08hb6ZwR2kMQdoDvZCJRDQ1S4=' - to klucz publiczny serwera, to źle ?

4

Odp: WireGuard server - klient

Masz to samo wpisane na serwerze i na kliencie w peerach. A każdy ma inny.

I endpoint_host  masz niepotrzebne w serwerze wpisane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5 (edytowany przez armen10 2022-09-29 07:58:18)

Odp: WireGuard server - klient

Ok, super udało się połączyć.
Serwer ma: 10.8.0.1 [sieć vpn]
Klient ma: 10.8.0.4 [sieć vpn]

Po vpnie mam dostęp tylko do sieci vpn
A co ustawić na kliencie (lub serwerze), aby miał dostęp do całej sieci lokalnej serwera ? [Sieć lokalna serwera: 192.168.11.1/24]

Klient:

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'AKRhzI1PPdV/43I/Ze78RRGozux1DLZUchgbdNdZuUg='
        list addresses '10.8.0.4/32'

config wireguard_wg0
        option public_key 'D83XmDy5uc3sQaCuWa08hb6ZwR2kMQdoDvZCJRDQ1S4='
        option route_allowed_ips '1'
        list allowed_ips '0.0.0.0/0'
        option endpoint_host '.noip.pl'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        option description 'tl-mr3020'

6

Odp: WireGuard server - klient

Na kliencie już nic. Na serwerze - dla danego peera w allowedips wstaw adresację sieci lokalnej za serwerem (np. 192.168.1.0/24) oraz zezwól na forwarding pomiędzy sekcją wireguard a siecią lokalną.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7 (edytowany przez armen10 2022-09-29 08:21:38)

Odp: WireGuard server - klient

Cezary napisał/a:

Na kliencie już nic. Na serwerze - dla danego peera w allowedips wstaw adresację sieci lokalnej za serwerem (np. 192.168.1.0/24) oraz zezwól na forwarding pomiędzy sekcją wireguard a siecią lokalną.


Ok dodałem na serwerze, ale coś nie chce zabanglać...

https://i.ibb.co/6JBG48b/11.png

root@OpenWrt_ODDK:~# cat /etc/config/firewall

config forwarding
        option src 'wg'
        option dest 'wan'

config forwarding
        option src 'wan'
        option dest 'wg'

config forwarding
        option src 'wg'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg'

SERWER:

config interface 'wg0'
        option proto 'wireguard'
        option private_key '0OZe1s57/p7dNuzImVObWmtWmDR2Ob9B7Z67SMK0O24='
        option listen_port '51820'
        list addresses '10.8.0.1/24'

config wireguard_wg0
        option public_key 'TsuCSFcMRv/GBqGVoNsh/6nZy5iWqWWUoFddV5k3/2A='
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        option description 'tp-mr3020'
        list allowed_ips '10.8.0.4/32'
        list allowed_ips '192.168.9.0/24'

8

Odp: WireGuard server - klient

I gdzie giną pakiety? Co się pinguje a co nie? I czy klient w lanie ma gatewaya ustawionego?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9

Odp: WireGuard server - klient

Cezary napisał/a:

I gdzie giną pakiety? Co się pinguje a co nie? I czy klient w lanie ma gatewaya ustawionego?

Klient nie ma ustawionego gatewaya. A jaki tam powinien być ?

10

Odp: WireGuard server - klient

Na taki jaki masz gateway w sieci lokalnej. Pewnie ten serwer.

Dziwne pytanie w sumie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11

Odp: WireGuard server - klient

Cezary napisał/a:

Na taki jaki masz gateway w sieci lokalnej. Pewnie ten serwer.

Dziwne pytanie w sumie.

Myślę, że nie ma "dziwnych" pytań są tylko mniej lub bardziej doświadczeni wink
A jak na serwerze też nie mam ustawionego, a na kliencie w sieci lokalnej podaje IP serwera, to źle ?
Właśnie wpisałem gatewaya na serwerze i już nie mogę na niego wejść... Teraz musze z tym powalczyć...
Zawsze gatewayem był ip serwera i to wystarczyło.

12

Odp: WireGuard server - klient

Na serwerze masz ustawionego, dostałeś z wanu z dhcp. Inaczej byś nie miał dostępu do Internetu z niego. I na serwerze nie jest to adres serwera czyli jego samego oczywiście...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

13 (edytowany przez armen10 2022-09-29 12:56:56)

Odp: WireGuard server - klient

Ok, naprawiłem uff...
Ale nie osiągnąłem tego czego szukam sad
Nie wiem, jaki gateway wpisać u klienta. Na serwerze jest sieć LAN i WAN. WAN na gatewaya, LAN nie.
Wpisanie u klienta gatewaya z WAN nic nie dało.

Jak wpisałem na serwerze dla danego peera w allowedips całą podsieć lokalną (192.168.9.0/24), to już nie mogłem się zalogować przez www na adres lokalny serwera 192.168.9.254 tylko mogłem przez adres vpna 10.8.0.1

14

Odp: WireGuard server - klient

Klient skąd ma adres IP? Z lanu serwera? jeżeli tak to powinien dostać też i dns i gatewaya z serwera, pewnie wskazujące na serwer. Jeżeli klientowi ustawiłeś adres ręcznie to ustaw także gatewaya.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

15 (edytowany przez armen10 2022-09-29 12:59:20)

Odp: WireGuard server - klient

Cezary napisał/a:

Klient skąd ma adres IP? Z lanu serwera? jeżeli tak to powinien dostać też i dns i gatewaya z serwera, pewnie wskazujące na serwer. Jeżeli klientowi ustawiłeś adres ręcznie to ustaw także gatewaya.

Klient skąd ma adres IP? Z lanu serwera? - klient ma statyczny LAN, DHCP wyłączone

Ok potestuje...

16 (edytowany przez armen10 2022-09-29 13:13:40)

Odp: WireGuard server - klient

Mój klient wygląda tak, jak poniżej.
Jak wpisałem gatewaya serwera (LANu), to vpn przestał działać.
Server ma LAN 192.168.9.254 i ten adres jest przydzielany jako gateway w urządzeniach, które mają dhcp.

https://i.ibb.co/PjLHCXH/klient.png

17

Odp: WireGuard server - klient

Klient - w sensie urządzenie w lanie serwera. Nie klient wg którym łączysz się zdalnie do serwera.

A tu też masz gatewaya, dostałeś go od operatora z mdemu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

18 (edytowany przez piratee 2025-02-15 22:00:48)

Odp: WireGuard server - klient

Przerzucam konfigurację z Archer C7 V5 na T56
Skopiowałem konfigurację do network i firewall-a i nie uzyskuję połączenia
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         host-89-228-16- 0.0.0.0         UG    0      0        0 eth1
10.9.0.0        *               255.255.255.0   U     0      0        0 wg0
10.9.0.2        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.4        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.5        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.6        *               255.255.255.255 UH    0      0        0 wg0
89.228.16.0     *               255.255.248.0   U     0      0        0 eth1
172.20.1.0      *               255.255.255.0   U     0      0        0 br-lan
192.168.1.0     *               255.255.255.0   U     0      0        0 wg0
192.168.2.0     *               255.255.255.0   U     0      0        0 wg0
192.168.3.0     *               255.255.255.0   U     0      0        0 wg0


interface: wg0
  public key: klucz_serwer
  private key: (hidden)
  listening port: 55055

peer: klucz_klient1
  allowed ips: 10.9.0.2/32
  persistent keepalive: every 25 seconds

peer: klucz_klient2
  allowed ips: 10.9.0.4/32, 192.168.3.0/24
  persistent keepalive: every 25 seconds

peer: klucz_klient3
  allowed ips: 10.9.0.5/32, 192.168.2.0/24
  persistent keepalive: every 25 seconds

peer: klucz_klient4
  allowed ips: 10.9.0.6/32, 192.168.1.0/24
  persistent keepalive: every 25 seconds

jak daję ping to od razu mam
root@Piratee:/etc/config# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1): 56 data bytes
ping: sendto: Destination address required


będę wdzięczny za pomoc

ZTE MF 286D OpenWrt 23.05-SNAPSHOT r23484-b742216dc8
Zyxel EX5601-T0 ubootmod OpenWrt 24.10-SNAPSHOT, r28432-7609571dcd
TP-LINK Archer C7 v5 - 1.14.0.2 (Built 20231226-1035 git@8e210b77)

19

Odp: WireGuard server - klient

No nie masz połączenia  z drugą stroną.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

20 (edytowany przez piratee 2025-02-15 22:43:03)

Odp: WireGuard server - klient

powinno być bo to dwa routery
któryś powinien się połączyć sad

Zaraz wrócę na stary router i zobaczę

EDIT
Wróciłem na stary router i od raz wróciły połączenia WG

ZTE MF 286D OpenWrt 23.05-SNAPSHOT r23484-b742216dc8
Zyxel EX5601-T0 ubootmod OpenWrt 24.10-SNAPSHOT, r28432-7609571dcd
TP-LINK Archer C7 v5 - 1.14.0.2 (Built 20231226-1035 git@8e210b77)

21

Odp: WireGuard server - klient

Zainstalowałem Gargoyle 1.15.0.1 i interfejsy wg od razu się podniosły i mam zestawione mosty.
Jutro jeszcze raz przeinstaluje na OpenWrt z Luci i zerknę.

Nie wiem też czemu nie działa mi serwis "freedns.afraid.org" dla ddns (ustawiony jako własny)
W Gargoyle mogę wybrać jako serwis.

ZTE MF 286D OpenWrt 23.05-SNAPSHOT r23484-b742216dc8
Zyxel EX5601-T0 ubootmod OpenWrt 24.10-SNAPSHOT, r28432-7609571dcd
TP-LINK Archer C7 v5 - 1.14.0.2 (Built 20231226-1035 git@8e210b77)

22 (edytowany przez piratee 2025-02-16 22:36:34)

Odp: WireGuard server - klient

Zrobiłem ponownie konfigurację i wg działa
Edit:
Myślałem że działa ddns po podaniu URL - jednak nie
jak zrobić aby dostawcę freedns.afraid.org dodać jako serwis tak jak w Grgoyle


Poprawiłem wywołanie URL  i dział

ZTE MF 286D OpenWrt 23.05-SNAPSHOT r23484-b742216dc8
Zyxel EX5601-T0 ubootmod OpenWrt 24.10-SNAPSHOT, r28432-7609571dcd
TP-LINK Archer C7 v5 - 1.14.0.2 (Built 20231226-1035 git@8e210b77)