• Zarejestrowany: 2014-03-11
  • Posty: 15

Temat: S2S (wirequard) przekierowanie IP

Cześć,

mam dwie sieci spięte poprzez wireguarda.

LAN1 - 10.0.1.0/24
LAN2 - 192.168.1.0/24

Obie strony maja zrobione routingi (allowed_ips) więc wszystkie adresy z LAN1 widoczne są w LAN2 i odwrotnie.

Z sieci LAN1 przeniosłem NAS'a o adresie 10.0.1.10 do sieci LAN2 i teraz ma on adres 192.168.1.10.

Ze względu na usługi wystawione i konfiguracje u klientów chciałbym by w sieci LAN1 nadal NAS widoczny był pod starym adresem.

Dodałem dodatkowe IP do interfejsu LAN na routerze w sieci lan (10.0.1.1 + 10.0.1.10). Wykombinowałem, że spróbuję zrobić zwykły redirect przy użyciu DNAT.

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    option ip6assign '60'
    list ipaddr '10.0.1.1/24'
    list ipaddr '10.0.1.10'

lan i wg mam spięte w jedną strefę:

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    list network 'lan'
    list network 'wg0'


dodałem do firewall:

config redirect
    option name 'NAS 10.0.1.10<->192.168.1.10'
    option src 'lan'
    option src_dip '10.0.1.10'
    option dest 'lan'
    option dest_ip '192.168.1.10'
    option target 'DNAT'
    option src_dport '1-65535'
    option dest_port '1-65535'
   
config nat
    option name 'NAS 192.168.1.10<->10.0.1.10'
    option src_ip '192.168.1.10'
    option src 'lan'
    option snat_ip '10.0.1.10'
    option target 'SNAT'   


Niestety efektu brak. Czy chociaz w dobrą stronę idę? Może coś zupełnie innego tu powinienem zrobić?

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,019

Odp: S2S (wirequard) przekierowanie IP

Nie mam pojęcia czy da się coś takiego zrobić, bez hosta w sieci.

Ja bym jednak nadał mi nazwę i pozmieniał tam gdzie trzeba stary adres na nazwę.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez piotrek_r

  • Zarejestrowany: 2014-03-11
  • Posty: 15

Odp: S2S (wirequard) przekierowanie IP

Cezary napisał/a:

Nie mam pojęcia czy da się coś takiego zrobić, bez hosta w sieci.

Ja bym jednak nadał mi nazwę i pozmieniał tam gdzie trzeba stary adres na nazwę.


A to nie jest coś w rodzaju DMZ tylko przez vpn? Hosta nie ma ale dodałem ten IP do routera dodatkowo więc zakładam, że w niego będą strzały z LAN1. Dalej kwestia przekierowania tego ruchu na odpowiednią maszynę w LAN2. Tunelem SSH (z tym że na konkretny port) takie rzeczy to chwila ale chciałem to w bardziej "koszerny" sposób ogarnąć smile

4 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: S2S (wirequard) przekierowanie IP

piotrek_r napisał/a:

Cześć,
...
dodałem do firewall:

config redirect
    option name 'NAS 10.0.1.10<->192.168.1.10'
    option src 'lan'
    option src_dip '10.0.1.10'
    option dest 'lan'
    option dest_ip '192.168.1.10'
    option target 'DNAT'
    option src_dport '1-65535'
    option dest_port '1-65535'
    ...

dziwnie to wygląda z lan do lan.... może wrzuć te adresy do innych "zone"

Powiedzmy że router (10.0.1.1+10.0.1.10) widzi u siebie porty: WAN, LAN1 oraz WG a więc inna metoda do sprawdzenia może wyglądać tak:
redirect z 10.0.1.10 na końcówkę tunelu WG który jest na drugim routerze z LAN2
redirect z adresu WG (tam gdzie jest LAN2) na ten konkretny NAS 192.168.1.10

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

5 Odpowiedź przez piotrek_r

  • Zarejestrowany: 2014-03-11
  • Posty: 15

Odp: S2S (wirequard) przekierowanie IP

mar_w napisał/a:

dziwnie to wygląda z lan do lan.... może wrzuć te adresy do innych "zone"

Powiedzmy że router (10.0.1.1+10.0.1.10) widzi u siebie porty: WAN, LAN1 oraz WG a więc inna metoda do sprawdzenia może wyglądać tak:
redirect z 10.0.1.10 na końcówkę tunelu WG który jest na drugim routerze z LAN2
redirect z adresu WG (tam gdzie jest LAN2) na ten konkretny NAS 192.168.1.10

Dzięki, z podziałem na końcówki wg zadziałało prawidłowo, wystarczą dwa redirecty, konfigurację dla NAT wyłączyłem.
Dla porządku dodałem dodatkowy adres IP dla WG by router LAN2 wiedział który ruch przerzucać do końcowego IP.

Rozdział stref na lan / wg nie był konieczny - działało bez tego ale dla porządku tez zrobiłem. Było to jednak pewne wyzwanie bo pracowanie na zdalnym routerze zawsze wiąże się z ryzykiem wycieczki do niego smile

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,019

Odp: S2S (wirequard) przekierowanie IP

Wrzuć całość tutaj, niech zostanie dla potomnych.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez piotrek_r

  • Zarejestrowany: 2014-03-11
  • Posty: 15

Odp: S2S (wirequard) przekierowanie IP

Cezary napisał/a:

Wrzuć całość tutaj, niech zostanie dla potomnych.

Zgodnie z prośbą smile

1.) W LAN1 dodajemy do interfejsu LAN dedykowane "wirtualne" IP, które chcemy mieć widoczne w sieci jako "host docelowy": np: 10.0.1.10. Zamiast dodawać adres IP do istniejącego interfejsu można stworzyć również nowy - dedykowany, jak kto lubi smile
2.) W LAN2 dodajemy dedykowany IP do WG - dedykowany dla przekierowanego ruchu: np. 10.9.1.3
3.) Ruch z LAN1 przekierowujemy na końcówkę WG w sieci LAN2 - w tym wypadku 10.0.1.10->10.9.1.3 - w tym wypadku przekierowanie osobno dla stref LAN oraz  WG ale w zależności od potrzeb można np tylko przekierować LAN
4.) Ruch z końcówki WG w LAN2 (10.9.1.3) przekierowujemy na host docelowy (192.168.1.10)

LAN1:

/etc/config/network

config interface 'lan'
    option device 'br-lan'
    option proto 'static'
    list ipaddr '10.0.1.1/24'
    list ipaddr '10.0.1.10'

/etc/config/firewall

#konfiguracja dla klientów WG
config redirect
    option src_dip '10.0.1.10'
    option dest_ip '10.9.1.3'
    option target 'DNAT'
    list proto 'tcp'
    list proto 'udp'
    option src_dport '1-65535'
    option dest_port '1-65535'
    option src 'wg'
    option dest 'wg'
    option name 'NAS 10.0.1.10<->10.9.1.3 WG'

#konfiguracja dla klientów LAN
config redirect
    option src_dip '10.0.1.10'
    option dest_ip '10.9.1.3'
    option target 'DNAT'
    list proto 'tcp'
    list proto 'udp'
    option src_dport '1-65535'
    option dest_port '1-65535'
    option src 'lan'
    option dest 'wg'
    option name 'NAS 10.0.1.10<->10.9.1.3 LAN'

LAN2:

/etc/config/network

...
config interface 'wg0'
    option proto 'wireguard'
    option private_key '...'
    list addresses '10.9.0.3/24'
    list addresses '10.9.1.3/24' #ruch przychodzący do przekierowania na 192.168.1.10

/etc/config/firewall

...
config redirect
    option dest 'lan'
    option target 'DNAT'
    option name 'NAS 10.9.1.3->192.168.1.10'
    option family 'ipv4'
    option src 'lan'
    option src_dip '10.9.1.3'
    option src_dport '1-65535'
    option dest_ip '192.168.1.10'
    option dest_port '1-65535'