1 Temat przez annow

  • annow
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-12-12
  • Posty: 11

Temat: WireGuard VPN oraz PBR

Witam serdecznie,

posiadam router Archer C6 V2 z wgranym najnowszym OpenWRT.

Skonfigurowałem interfejs jako klient VPN Wireguard do serwera w innej lokalizacji i chciałbym puścić przez niego ruch tylko do specyficznych domen i udało mi się to, ale mam problem gdy interfejs zostanie wyłączony bądź nastąpi problem z połączeniem do VPN. Wtedy domena która jest puszczona przez VPN przestaje działać.
Używam do calej operacji PBR:

config policy
        option name 'test'
        option src_addr '192.168.22.0/24'
        option dest_addr 'ifconfig.me'
        option interface 'wg_client'
        option enabled '1'
        option priority '0'

config policy
    option name 'failover'
    option src_addr '192.168.22.0/24'#
    option dest_addr 'ifconfig.me'
    option interface 'wan'
    option enabled '1'
    option priority '1'

oraz network:

config interface 'wan'
        option proto 'dhcp'
        option device 'eth0.2'
        option peerdns '0'
        option hostname '*'
        option metric '15'

config interface 'wg_netflix'
        option proto 'wireguard'
        option private_key '1111'
        list addresses '10.101.0.5/32'
        option metric '25'

config wireguard_wg_netflix
        option description 'wg_netflix'
        option public_key '111'
        option private_key '111'
        list allowed_ips '0.0.0.0/0'
        option endpoint_host '1111'
        option endpoint_port '11111'

Gdy jest aktywne połączenie z serwerem nie ma problemu z dostaniem się na stronę, jednak problem jest gdy interfejs zostanie wyłączony. Wtedy strona w ogóle nie działa.
Czy ktoś miał kiedyś taki problem i udało mu się go rozwiązać?



Pozdrawiam

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: WireGuard VPN oraz PBR

Może coś takiego - sprawdzasz skryptem czy wireguard jest aktywny i da się np. pingować drugą stronę tunelu i jeżeli tak i reguła nie jest aktywna to ją włącz i zrestartuj pbr. W przeciwnym przypadku wyłącz pbra.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez annow

  • annow
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-12-12
  • Posty: 11

Odp: WireGuard VPN oraz PBR

Cezary napisał/a:

Może coś takiego - sprawdzasz skryptem czy wireguard jest aktywny i da się np. pingować drugą stronę tunelu i jeżeli tak i reguła nie jest aktywna to ją włącz i zrestartuj pbr. W przeciwnym przypadku wyłącz pbra.

Dziękuję bardzo za sugestie ale o dziwo gdy ręcznie wyłączę interfejs przy pomocy ifdown i zrestartuje pbr to nadal strona jest niedostępna i ruch jest kierowany na wg, może jest coś lepszego niż pbr do takich rzeczy?

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: WireGuard VPN oraz PBR

A to nie jest tak że musisz najpierw sesję przerwać np. rozłączając klienta czy coś takiego?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez annow

  • annow
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-12-12
  • Posty: 11

Odp: WireGuard VPN oraz PBR

Wykonuję testowo komendę: ifdown wg_netflix i niestety nie przełącza się.
Również testowałem scenariusz gdy jestem podłączony do Serwera wireguard i gdy np. usunę peera albo wyłączę serwer wireguard połączenie się przerywa ale nadal strony próbują być otwierane przez tunel który nie działa

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: WireGuard VPN oraz PBR

No to coś masz inaczej. DNS w cache ci trzyma?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez annow

  • annow
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-12-12
  • Posty: 11

Odp: WireGuard VPN oraz PBR

Nie do końca rozumiem co miałby DNS trzymać? Nawet jeśli czyszczę cache to router pomimo wyłączonego interfejsu próbuje pchać ruch przez Wireguard

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,172

Odp: WireGuard VPN oraz PBR

Ale to by oznaczało że albo nie wyłączyłeś PBR'a albo nie zlikwidowałeś routingu czy co tam pbr przestawia. Bo przecież sam z siebie router nic o wg nie wie, więc czemu miał by coś tam pchać domyślnie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez annow

  • annow
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2018-12-12
  • Posty: 11

Odp: WireGuard VPN oraz PBR

Znalazłem rozwiązanie problemu..
Wszystkie polityki były OK wystarczyło zmienić opcję:
option strict_enforcement '0'

Domyślnie mamy '1'

Gdy interfejs zostanie wyłączony bądź przestanie coś działać wszystko idzie przez nasz WAN.

10 Odpowiedź przez khain

  • khain
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2013-09-15
  • Posty: 328

Odp: WireGuard VPN oraz PBR

@annow

1. Rozumiem, że policy 'test' wyrzuca ruch do netflixa przez wireguarda.
2. src_addr to podsieć, w której znajdują się klienci netflixa.
3. dest_addr to url od netlifxa, ale zaciągasz je z pliku?
4. Policy failover jest używana gdy wireguard nie jest zestawiony, więc ruch leci przez wan.

Dodatkowo w sekcji pbr 'config' trzeba ustawić

option strict_enforcement '0'

Czy to są wszystkie ustawienia pbr, które trzeba zrobić?
Czy mógłbyś podzielić się configiem do tego rozwiązania?

TP-Link TL-WDR3600 v1.5 -  OpenWrt Chaos Calmer 15.05.1 with Luci +Microsoft LifeCam VX-3000
RaspberryPi 2 - OMV Stone Burner 2.0.15 +Creative SB Play +Medion OR24V +DVB-T Media-Tech MT4163  +MP00202AC +3xDS18B20 +HIH-4000-002 +MPXHZ6115A +Samsung SPF-85H +D-Link DUB-H7