1 (edytowany przez mesmariusz 2023-12-21 23:26:47)

Temat: Wireguard i problem z pingami w jednym kierunku

Wireguard na MT w roli "serwera" (sieć nadrzędna) - adresacja lokalna: 192.168.56.0/24 IP tunelu: 192.168.253.1

Wireguard na OpenWRT w roli "klienta" (sieć podrzędna) - adresacja lokalna: 192.168.129.0/24 IP tunelu: 192.168.253.6

Tunel zestawia się, cały rych sieci 192.168.129.0/24 kierowany jest przez tunel na główny router MT 192.168.56.1.
(czyli allowed IP na Wireguardzie na OpenWRT ustawione na 0.0.0.0/0)

Komunikacja leci pięknie.

Z poziomu OpenWRT mogę pingować wszędzie. Pakiety pięknie idą i na 192.168.253.6, 192.168.253.1 i na wszystko co stoi za tunelem, czyli na router 192.168.56.1 czy na dowolne inne maszyny 192.168.56.0/24 Cudo. Zero problemów.

Problem jest w drugą stronę.

Z żadnej maszyny w sieci 192.168.56.0/24, ani nawet z panelu MT (192.168.56.1) na którym stoi Wireguard, nie mogę zapingować, na Router OpenWrt (czyli na 192.168.129.1) ani na żadną inną maszynę w sieci 192.168.129.0/24.

Dziwne, bo w IP -> Routes ustawiłem właściwą trasę routingu:

https://i.imgur.com/2xFShsg.png

Innymi słowy wszystko co idzie w kierunku 192.168.129.0/24 ma być kierowane na tunel wireguarda na końcówkę 192.168.253.6. Podobną metodę stosowałem dla l2tp over IPsec, i tam problemów nie było.

Tutaj sytuacja wygląda następująco:

- przed załączeniem bezpośredniej trasy na końcówkę 192.168.253.6:

https://i.imgur.com/H7UNQ97.png

- po załączeniu bezpośredniej trasy na końcówkę 192.168.253.6:

https://i.imgur.com/iObWqSY.png

Widać, że MT próbuje pchać pakiety właściwą trasą, ale odpowiedzi od Routera OpenWRT nie wracają.

Komputer będący w LANie tego OpenWRT-ka też nie odpowiada:

https://i.imgur.com/f6vBHsx.png

Firefall MT wydaje się być ustawiony prawidłowo.

Tymczasem urządzenia zza tunelu nie chcą odpowiadać na pingi, a problem jest wybitnie jednokierunkowy.

Jakieś pomysły ?

2

Odp: Wireguard i problem z pingami w jednym kierunku

Nie route statyczną (choć tak też można) tylko w peerze wireguarda w mikrotiku w allowed ips ustaw 192.168.129.0/24

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Wireguard i problem z pingami w jednym kierunku

Cezary napisał/a:

Nie route statyczną (choć tak też można) tylko w peerze wireguarda w mikrotiku w allowed ips ustaw 192.168.129.0/24

Dzięki. Teraz działa super :-D Kolejna mega podpowiedź tego dnia. Teoretycznie oczywista, a szukałbym jeszcze pół nocy :-D

4

Odp: Wireguard i problem z pingami w jednym kierunku

Bez porządku w allowed IP's w peerach MT żadne pingi nie przejdą.

Ale bez tej statycznej reguły routingu też się na panel OpenWRT-ka z sieci MT-ka nie wbijesz.

Chyba za późno na rozkminę, dlaczego, najważniejsze, że obie sprawy (wpis statyczny w tabeli routingu MT-ka)  i odpowiedni wpis w allowed IP's peera łącznie całościowo rozwiązują problem.

5 (edytowany przez mesmariusz 2023-12-22 00:17:32)

Odp: Wireguard i problem z pingami w jednym kierunku

Cezary napisał/a:

Nie route statyczną (choć tak też można) tylko w peerze wireguarda w mikrotiku w allowed ips ustaw 192.168.129.0/24

Kiedy na OpenWRT znowu ustawiłem 192.168.56.0/24 (zamiast 0.0.0.0/0) to co wyżej przestało działać.
Finalnie ustawiłem w peerach zarówno MT jak i OpenWRT dwie grupy allowed IP's:

https://i.imgur.com/PmSHkKv.png

https://i.imgur.com/t3T6nuQ.png

I teraz już wszystko działa wyśmienicie i dwukierunkowo.

Z poziomu LANu pod kontrolą OpenWRT strony WWW ciągną się przez WAN (tak jak chciałem), to co ma lecieć przez Wireguarda, leci przez Wireguarda a lokalny DNS (ze zdublowanymi wpisami co w MT) na OpenWrt rozwiązuje też niektóre adresy domenowe na potrzemy docierania po nazwach domenowych na maszyny za Wireguardem.

Wszystko działa cacy.

6

Odp: Wireguard i problem z pingami w jednym kierunku

Jest błąd w allowed ips - 192.168.253.6/24
Albo robisz dla całej podsieci 192.168.253.0/24
albo do jednego, czyli 192.168.253.6/32