51 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Bingo. Działa. @mar-w wielkie dzięki za wytrwałsc i prowadzenie do celu.

52 Odpowiedź przez mar_w (edytowany przez mar_w 2022-01-09 18:50:46)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

Rozumiem że chcesz sobie bezkarnie pingować z Host A do Host C po adresach lokalnych 192.168.1.39 > 192.168.7.39
przez tunel WG jak pokazuje czerwona linia.

Oraz odwrotnie:
Z Hosta C do Hosta A po adresach prywatnych LAN 192.168.7.39 > 192.168.1.39

https://i.ibb.co/2y3txtJ/Przechwycenie-obrazu-ekranu-2022-01-09-17-17-31.jpg

Jakbyś takie coś narysował wczoraj, zamiast płakać, że giną pakiety to .... byłoby mniej o 48h w plecy, ale w sumie nie wiem czy ktoś chciałby opisywać konfigi gdzie dodatkowo wplecione są routery z OFW

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

53 Odpowiedź przez gonzales (edytowany przez gonzales 2022-01-09 19:29:15)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Generalnie to dotychczas przerabiałem opcję, że serwer WG był jednoczenie bramą dla urządzeń do niego połączonych i pracujących w sieci VPN ale wpięty był za drugą bramą stanowiącą wyjcie na świat dla ogółu urządzeń (router bez openwrt).

Jednak funkcjonowanie dwóch adresacji sieci LAN w codziennym użytkowaniu zaczęła mi przeszkadzać więc chciałem to połączyć w jedną sieć.
Postawienie R6220 jako gateway'a dla wszystkich byłoby najprostsze, niestety mój egzemplarz potrafił się wyłożyć w najmniej spodziewanym momencie z niewiadomych przyczyn - być może nie służyła mu praca w trybie PPPoE. W czasach nauki zdalnej takie rozwiązanie było nie do zaakceptowania.

W celu usystematyzowania dotychczasowych doświadczeń z wireguard dopytam jeszcze o taką rzecz.
Jeżeli klientami WG są routery stanowiące jednocześnie gateway'e dla dla wszystkich urządzeń w swojej sieci LAN, to czy tam jest wymagane ustanowienie routingu statycznego (lub czegokolwiek innego) w celu powiązania adresacji interfejsu WG 10.9.0.0 z adresacją LAN-u 192.168.0.0 ? Zakładam, że nie ale wolę dopytać.

54 Odpowiedź przez mar_w (edytowany przez mar_w 2022-01-09 20:48:17)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

Nie, już nie musisz.
Jest o niebo łatwiej gdy router jest domyślną bramą i serwerem WG, bo jak pokazałeś R6220 gdy będzie miał WAN i jednocześnie będzie dla wszystkich swoich klientów LAN serwerem DHCP i jednocześnie domyślną bramą, to do niego będą pchali pakiety adresowane do "obcych" sieci LAN, a on już będzie wiedział co z tym zrobić i gdzie wrzucić (*)
*) przy prawidłowej konfiguracji tunelu i firewall

PS. Trudność u Ciebie była taka, że za dużo było kombinacji logiczno-słownych: klient za klientem, klient nie może pingować klienta (WG->WG, czy WG->LAN, czy LAN->WG, czy LAN1->LAN2)

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

55 Odpowiedź przez cyniu88

  • Zarejestrowany: 2012-11-16
  • Posty: 398

Odp: Łączenie sieci LAN wireguard

jest  szansa na fajny poradnik  jak zestawić "Łączenie sieci LAN wireguard na openwrt" ?

ogólnie   samo zestawianie wireguarda  i klienta  do niego jest opisane ok, ale mam wrażenie, że łącznie  sieci lan już  nie, a sporo tematów na forum było poruszane...

ja np utknąłem  na tym że  hosty  z sieci routera klienta  pingują  hosty  z sieci  routera serwera oraz pojedynczych klientów vpn (np telefon z androidem), ale  już poszczególni klienci  sieci vpn ( telefon z androidem)  oraz hosty  w sieci lan  routera serwera  oraz  sam router mogą pingować  tylko adres  routera  klienta  i  tylko ten  z sieci vpn ( te z lan są nie osiągalne )

56 Odpowiedź przez mar_w (edytowany przez mar_w 2023-08-17 23:20:27)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

Sprawdź tablicę routingu na routerze-kliencie i na routerze-serwerze.
Na routerze-kliencie powinieneś mieć trasę do Lan routera-serwera a na routerze-serwerze powinieneś mieć trasę do Lan routera-klienta.
W obu przyp. Trasa przez tunel VPN.

Po drugie:
Na jednym routerze masz dopuszczony forward między VPN-Lan i Lan-VPNa a na drugim niekoniecznie skoro nie działa. Do sprawdzenia.

Normalnie gdy hosty routera-serwera chcą pingowac inne hosty z nieswojej sieci to pchają to na swoją bramę czyli router.
Gdy router będzie wiedział żeby to wrzucić w tunel pkt.1 , to to zrobi pod warunkiem, że będzie miał pozwolenie na forward Lan-Vpn.
Po drugiej stronie router-klient gdy odbierze pakiet to musi mieć pozwolenie na forward między Vpn-Lan żeby przekazać pakiet do swoich hostów.

Odpowiedź zwrotna to kopia tego co wyżej tylko że zaczynamy od strony routera-klienta.
Trasa, forward, i po drugiej stronie forward.

Ekwilibrystyka pojawia się gdy tunel wychodzi przez jednego z klientów Lan, a nie przez główną bramę. Wtedy albo maskarada albo na routerze głównym dodatkowa trasa lub trasy routingu przez konkretnego hosta, tego, który trzyma tunel u siebie + przekierowanie portu na bramie z publicznym IP.

Jak widzisz nic trudnego, zawsze musi być nawigacja + otwarty szlaban żebyś mógł jechać w (nie)znane smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

57 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Łączenie sieci LAN wireguard

Nawet gotowiec jest do tego: https://openwrt.org/docs/guide-user/ser … te-to-site

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

58 Odpowiedź przez cyniu88

  • Zarejestrowany: 2012-11-16
  • Posty: 398

Odp: Łączenie sieci LAN wireguard

mar_w napisał/a:

Sprawdź tablicę routingu na routerze-kliencie i na routerze-serwerze.
Na routerze-kliencie powinieneś mieć trasę do Lan routera-serwera a na routerze-serwerze powinieneś mieć trasę do Lan routera-klienta.
W obu przyp. Trasa przez tunel VPN.

router serwer  lan  192.168.13.0/24
router klient   lan  192.168.4.0/24

serwer:

root@OpenWrt-Luizjana:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         ip-45-90-2-31.n 0.0.0.0         UG    0      0        0 pppoe-wan
10.9.0.0        *               255.255.255.0   U     0      0        0 wg0
10.9.0.2        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.3        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.4        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.6        *               255.255.255.255 UH    0      0        0 wg0
10.9.0.31       *               255.255.255.255 UH    0      0        0 wg0
45.90.2.31      *               255.255.255.255 UH    0      0        0 pppoe-wan
192.168.4.0     *               255.255.255.0   U     0      0        0 wg0
192.168.13.0    *               255.255.255.0   U     0      0        0 br-lan

wiec 192.168.4.0  jest na wg0

klient:

root@OpenWrt-Gorscy:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0.2
10.9.0.0        *               255.255.255.0   U     0      0        0 wg0
45.90.3.84      192.168.1.1     255.255.255.255 UGH   0      0        0 eth0.2
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0.2
192.168.4.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.13.0    *               255.255.255.0   U     0      0        0 wg0

więc  192.168.13.0  na wg0

mar_w napisał/a:

Po drugie:
Na jednym routerze masz dopuszczony forward między VPN-Lan i Lan-VPNa a na drugim niekoniecznie skoro nie działa. Do sprawdzenia.

ok więc
serwer:

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        list network 'wg0'

config forwarding
        option src 'vpn'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'vpn'


klient:

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        list network 'wg0'

config forwarding
        option src 'lan'
        option dest 'vpn'

config forwarding
        option src 'vpn'
        option dest 'lan'


i ping   z  192.168.4.x   ->  192.168.13.x   działa   a  odwrotnie nie sad

59 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

Wydaje się być wszystko OK. Nawet nie musiałeś ustawiać maskarady i pingi powinny iść.

wireguard ma jedną brzydką cechę.
Jeżeli w jego konfigu nie wstawimy trasy do sieci LAN za klientem, uruchomimy wireguarda i potem dopiszemy z palca taką trasę to pomimo tego, że system będzie widział taką trasę, to niestety pingi nie pójdą. Tak jakby WG miał własną przestrzeń działania w której gdy nie było od początku routingu to już nie ogląda się na to co w systemie.

myślę że nie robiłeś wg poradnika i on pomimo tego, że system widzi te trasy to sam wireguard nie potrafi z nich korzystać.
pokaż urywek konfigów bez kluczy i portów.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

60 Odpowiedź przez cyniu88

  • Zarejestrowany: 2012-11-16
  • Posty: 398

Odp: Łączenie sieci LAN wireguard

serwer:

config interface 'wan'
        option device 'wan'
        option proto 'pppoe'
        option username 'xxx'
        option password 'xxx'
        option ipv6 'auto'

config interface 'wan6'
        option device 'wan'
        option proto 'dhcpv6'

config interface 'wg0'
        option proto 'wireguard'
        option private_key xxx'
        option listen_port '000'
        list addresses '10.9.0.1/24'

config wireguard_wg0
        option description 'android'
        option public_key 'xxx'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '10.9.0.2/32'
        list allowed_ips '192.168.4.0/24'

config wireguard_wg0
        option description 'Cyniu-pc'
        option public_key 'xxx'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.3/32'
        option persistent_keepalive '25'

config wireguard_wg0
        option description 'GorscyRouter'
        option public_key 'xxx'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.4/32'
        option persistent_keepalive '25'

config wireguard_wg0
        option description 'InSouthNAS'
        option public_key 'xxx'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.31/32'
        option persistent_keepalive '25'

config wireguard_wg0
        option description 'Andrew-pc'
        option public_key 'xxx'
        option route_allowed_ips '1'
        list allowed_ips '10.9.0.6/32'
        option endpoint_host 'xxx'
        option endpoint_port 'xx'
        option persistent_keepalive '25'

root@OpenWrt-Luizjana:~#

klient

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '2 3 4 5 0t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 0t'

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'xxxx'
        list addresses '10.9.0.4/32'

config wireguard_wg0
        option public_key 'xxxx'
        option route_allowed_ips '1'
        option endpoint_host 'xxxl'
        option endpoint_port '0000'
        option persistent_keepalive '25'
        option description 'gorscy-openwrt'
        list allowed_ips '192.168.13.0/24'
        list allowed_ips '10.9.0.0/24'

root@OpenWrt-Gorscy:~#

61 Odpowiedź przez chemik89 (edytowany przez chemik89 2023-08-21 09:41:57)

  • Zarejestrowany: 2017-06-08
  • Posty: 404

Odp: Łączenie sieci LAN wireguard

pingi to mi do niczego poza routerami krańcowymi nie idą poprzez WG smile mimo to połączenie jest ok, i wszędzie sie można dobić. myślałem że to normalne wink

62 Odpowiedź przez cyniu88 (edytowany przez cyniu88 2023-08-21 11:05:49)

  • Zarejestrowany: 2012-11-16
  • Posty: 398

Odp: Łączenie sieci LAN wireguard

dobra, pomogło  dodanie 
    list allowed_ips '192.168.4.0/24'

w opisie peera   routera klienta na serwerze, to rozumiem  że oznacza sieć  za klientem.

a mam jeszcze pytanie  po co forward miedzy  wan a vpn  ?

63 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,919

Odp: Łączenie sieci LAN wireguard

Dla bezpieczeństwa. Jak byś internet miał z wanu, jak byś miał całkowicie poblokowany forwarding i jawnie musiał zdefiniować że można wychodzić przez wan.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona