1 Temat przez palibrzuch (edytowany przez palibrzuch 2023-04-02 18:43:18)

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Temat: wireguard firewall udp

Witam.
Router na którym jest serwer wireguard ma adresację 192.168.4.0, do routera podłączone jest esp (ip 192.168.4.7) które na porcie 14550 po udp daje dostęp do urządzenia podłączonego do esp.
Serwer wireguard 10.10.10.0.
Telefon łączy się i uzyskuje ip 10.10.10.10.
Będąc podłączonym do routera wszystko działa.
Włączając vpn mogę po adresie 192.168.4.7 normalnie wchodzić na esp ale niestety nie mam tak jakby dostępu do portu 14550.
Czy dodatkowo coś muszę jeszcze włączać?
Mam mnóstwo urządzeń na różnych portach i nie miałem nigdy problemu aby się z nimi łączyć.
Może ktoś podpowie czy da się uzyskać taki dostęp przez wireguarda (zerotier też nie daje rady)

2 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: wireguard firewall udp

Mógłby ktoś odpisać czy wygłupiłem się z pytaniem czy nie da się tego zrobić? smile

3 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: wireguard firewall udp

Jeżeli specjalnie nic nie blokowałeś na firewallu to powinno działać. Możesz dodać regułkę zezwalającą na dostęp pomiędzy strefą wireagurda a lanem (w obie strony) i zobaczysz czy to coś da. Ale powinno działać od kopa.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

4 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: wireguard firewall udp

Niestety ale zarówno przez wireguard jak i zerotier nie działa.

Config mam taki

config defaults
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option synflood_protect '1'
    option flow_offloading '1'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'

config zone
    option name 'wan'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    list network 'wan'

config forwarding
    option src 'lan'
    option dest 'wan'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-IGMP'
    option src 'wan'
    option proto 'igmp'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-MLD'
    option src 'wan'
    option proto 'icmp'
    option src_ip 'fe80::/10'
    list icmp_type '130/0'
    list icmp_type '131/0'
    list icmp_type '132/0'
    list icmp_type '143/0'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-IPSec-ESP'
    option src 'wan'
    option dest 'lan'
    option proto 'esp'
    option target 'ACCEPT'

config rule
    option name 'Allow-ISAKMP'
    option src 'wan'
    option dest 'lan'
    option dest_port '500'
    option proto 'udp'
    option target 'ACCEPT'

config rule
    option src 'wan'
    option target 'ACCEPT'
    option proto 'udp'
    option dest_port '55055'
    option name 'wireguard'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    list network 'wg0'

config forwarding
    option src 'wg'
    option dest 'wan'

config forwarding
    option src 'wan'
    option dest 'wg'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

config forwarding
    option src 'lan'

config forwarding
    option src 'wan'

config forwarding
    option src 'wan'
    option dest 'lan'

config zone
    option name 'home'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    list network 'home'

config forwarding
    option src 'home'
    option dest 'wan'

config forwarding
    option src 'home'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'home'

config forwarding
    option src 'wan'
    option dest 'home'

config forwarding
    option src 'wg'
    option dest 'home'

config forwarding
    option src 'home'
    option dest 'wg'

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: wireguard firewall udp

Akurat zerotier nie wymaga firewalla bo to on nawiązuje połączenie do chmury. Więc... coś w ogóle skopałeś w konfigruacji?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

6 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: wireguard firewall udp

Przez zerotier i wireguard mam dostęp do wszystkich urządzeń.
Konfigurację zerotier raczej mam standardową.

root@OpenWrt:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         87.1.4.245      0.0.0.0         UG    0      0        0 pppoe-wan
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 wg0
10.10.10.2      0.0.0.0         255.255.255.255 UH    0      0        0 wg0
10.10.10.5      0.0.0.0         255.255.255.255 UH    0      0        0 wg0
10.10.10.10     0.0.0.0         255.255.255.255 UH    0      0        0 wg0
22.22.22.0      0.0.0.0         255.255.255.0   U     0      0        0 hhhh
hhhh            0.0.0.0         255.255.255.255 UH    0      0        0 pppoe-wan
192.168.2.0     22.22.22.240    255.255.255.0   UG    5000   0        0 hhhh
192.168.3.0     22.22.22.3      255.255.255.0   UG    5000   0        0 hhh
192.168.4.0     0.0.0.0         255.255.255.0   U     0      0        0 br-lan
config zerotier 'home'
    list join '35c192cesde'
    option enabled '1'
    option secret '5ad39
192.168.2.0/24 via    22.22.22.240  
192.168.3.0/24 via    22.22.22.3
192.168.4.0/24 via    22.22.22.29    
22.22.22.0/24 (LAN)

Nie bardzo wiem co tu może być zepsute?

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: wireguard firewall udp

palibrzuch napisał/a:

Przez zerotier i wireguard mam dostęp do wszystkich urządzeń.

Zgubiłem się. Więc co w takim razie nie działa?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: wireguard firewall udp

smile nie działa podłączenie po vpn do urządzenia 192.168.4.7 (esp) które na porcie 14550 udp daje dostęp do innego urządzenia.
Stronę urządzenia 192.168.4.7 mogę otwierać bez problemu przez połączenie vpn ale program mi się nie łączy po tym porcie.
Jak połączę się z wifi wszystko działa. Zapinam vpn nawet jak jestem połączony z wifi (192.168.4.0) domowym to tracę połączenie po udp na tym 14550 porcie.

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: wireguard firewall udp

Czy 192.168.4.7 ma ustawionego gatewaya? Na jakie adres?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: wireguard firewall udp

Tam jest dhcp. Mogę stały wbić tylko jaki?

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,918

Odp: wireguard firewall udp

Pewnie gw 192.168.4.1 skoro taki masz. Ale z dhcp powinien dostać wszystko tak jak trzeba, chyba że serwer dhcp masz na innym urządzeniu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez palibrzuch

  • Skąd: Wwa
  • Zarejestrowany: 2019-12-22
  • Posty: 614

Odp: wireguard firewall udp

Wcześniej testy oczywiście były na sztywnym adresie i to nic nie zmieniało. Dhcp daje router i jak wprowadzę 192.168.4.1 to nic się nie zmienia. Nadal brak dostępu.