Temat: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Od wczoraj walczę z dziwnym tematem.

Nowo dodany klient wireduarda działa (ma dostęp do zdalnej sieci) do póki nie stworzę / nie dodam kolejnego klienta.
Dodanie klienta to u mnie dodanie nowych kluczy publicznych i sharedkey-e w sekcji peerów i dodanie nowych końcówek (kolejnych adresów w tunelu) oraz konfiguracja zamych klientów.

Do wczoraj myślałem, że aplikacja kliencka dla Windows ma bug-a, który powoduje, że dodanie nowego klienta (na tym samym komputerze) powoduje, że wszystkie poprzednie klienty przestają działać. Dostęo do sieci udaje się zrealizować (pakiety lecą) wyłącznie z poziomu ostatnio dodanego klienta.

Nic bardziej mylnego. To nie błąd aplikacji...

Dodałem jednego klienta (jeden router na OpenWRT) który łączył sie z WG na MT z innego łącza od innego ISP i wszystko było super hiper.

Aż skonfigurowałęm nowego klienta na innym OpenWRT, nowe klicze, nowy adres, nowy klient. Nowy klient działą super.
W czym problem? Poprzedni przestał działać... Nosz kurde mol...

Odłączam router z drugim klientem, podłączam router z pierwszym klientem - już nie działa. Kaplica. Łączę się zestawia, handshake jest, pakiety lecą a ruchu w żadnym kierunku nie ma.

O co kurna chodzi? Teraz działa mi wyłącznie ostatni router z ostatnim klientem.

Powtarza się historia jak z walką z wieloma klientami skonfigurowanymi na jednej aplikacji Wireguarda dla Windows -> https://trzepak.pl/viewtopic.php?t=70467

O co kaman?

2

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Musisz mieć inne klucze i inne adresy IP peerów, inne adresy podsieci każdego peera. Na pewno tak masz?

Co do aplikacji na windowsa - nie to forum, nie interesujące nas temat z pintu widzenia tego forum.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Masz niepoprawnie wygenerowane pary kluczy. https://wg.orz.tools/ tu sobie wygeneruje. Na pfsense mam kilkanaście peerów w tej samej podsieci i działa wszystko cycuś glanc.

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | 6x Ruckus r310 unleashed  + Ruckus icx7150-c12p | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile 100Mb/s - 25Gb/s
Podróżne : GL.Inet MT3000  +1TB hdd
Działka : rb260gs 1j wdm 1Gb+ ruckus r310 + nb m5 + kilka kamer ip  + panel 285Wp + lifepo4 12v 60Ah .

4

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

No właśnie nie wiem o co chodzi, już włosy z głowy rwę. Jedyne co jest niezmienne i się powtarza "serwer" z jednym kluczem publicznym który to klucz dodaje jako peera każdemu klientowi. Ale tak ma być.

Jeszcze co jest u mnie specyficzne to allowed ip z maską /24 zamiast /32 (wszyscy ustawiają /32). Może kwestia tych masek...

Jakim prawem poprzednie klienty przestają działać po skonfigurowania nowego to jakaś masakra jest.

5 (edytowany przez mesmariusz 2023-12-22 12:23:59)

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Na każdym peerze mam pokrywają a się pulę dozwolonych adresów. Może tak nie wolno?

https://forum.openwrt.org/t/wireguard-s … peer/19380

https://www.reddit.com/r/PFSENSE/commen … t_working/

6

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Oczywiście nie wolno, bo routing do peerów nie będzie działał. Każdy ma mieć swoją pulę adresową, już to miałeś pisane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Cezary napisał/a:

Oczywiście nie wolno, bo routing do peerów nie będzie działał. Każdy ma mieć swoją pulę adresową, już to miałeś pisane.

Wiadomo, że każdy z OpenWRTkow stosuje na własnym lanie inną adrwsację. U jednego jest 192.168.23.X u drugiego jest 192.168.129.X a na MT jest 192.168.56.X

Tyle, że u mnie każdy z peerów-klientow musi mieć kierowany ruch 192.168.56.0/24 właśnie na MT, bo za MT ta się się taka podsieć znajduje. Czyli każdy z peerow w allowed IP musi mieć taką właśnie pulę.

I co teraz?

8

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Więc masz w drugą stronę. Nic, tam ma być, mt ma swoją pulę którą podajesz na każdym innym peerze jeżeli ten peer ma mieć do niej dostęp.Tak jest ok.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Cezary napisał/a:

Więc masz w drugą stronę. Nic, tam ma być, mt ma swoją pulę którą podajesz na każdym innym peerze jeżeli ten peer ma mieć do niej dostęp.Tak jest ok.

Nie jestem pewien, czy zrozumiałem Twoją ostatnią myśl.

Generalnie ja stanąłem na tym:
https://trzepak.pl/viewtopic.php?t=70473

i na tym:
https://trzepak.pl/viewtopic.php?t=70467

Oba tematy są zadziwiająco podobne - poprzedni klient przestaje działać po dodaniu nowego. I działania tego poprzedniego nie daje się już naprawić, mimo usunięcia tego nowego klienta. Oba tematy łączy ten sam serwer Wireguarda postawiony na MT.

Połączenie się zestawia handshake jest ale pakiety lecieć już nie chcą. Mimo, że ten klient, chwilę przed utworzeniem nowego klienta działał perfekcyjnie.

10

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Ale wiesz że tamat mikrotika to juz nie to forum... Zrób sobie na próbę serwer na openwrt, podłącz się kilkoma klientami i zobacz.
Jeżeli to będzie problem mikrotika to oni mają swoje forum.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11 (edytowany przez mesmariusz 2023-12-22 18:38:44)

Odp: Wireguard - skonfigurowany klient działa do póki nie dodam kolejnego

Cezary napisał/a:

Ale wiesz że tamat mikrotika to juz nie to forum... Zrób sobie na próbę serwer na openwrt, podłącz się kilkoma klientami i zobacz.
Jeżeli to będzie problem mikrotika to oni mają swoje forum.

Racja, przepraszam.

Ale tak, czy siak zrobiłem, uporałem się i wszystko działa.

Tu był pies pogrzebany, faktycznie w allowed IP's:

Tak wszystko działa:

https://i.imgur.com/cqg89uo.png

A wcześniej miałem wprowadzone, trochę bez sensu:
192.168.253.5/24
192.168.253.6/24

więc segmenty sieci a allowed IP's w peerach wprowadzonych to MT się pokrywały.

Teraz mam obóstronne pingowanie po obu stronach sieci dla wszystkich klientów. Od strony MT mogę wbić na panele WWW czy na SSH OpenWrt-ków i na odwrót, od strony OpenWRT-ków mogę wleźć na serwer WWW stojący za MT.
A ruch WWW leci na lokalne WANy.