1

Temat: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Skonfigurowałem sobie udostępnienie dysków przez Ksmbd oraz VPN przez WireGuard. Wszystko przy pomocy poradników Cezarego za które bardzo dziękuję. Wydawało się, że wszystko super działa - do dziś. Zauważyłem, że łącząc się z zewnątrz nie mam dostępu do udostępnionych dysków. Jak to udrożnić ? Kwestia zapory sieciowej czy coś namieszałem w konfiguracji ?

2

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Ale to takie wróżenie z fusów teraz, bo nie podałaś kompletnie żadnych konfigów ani sposobu w jaki chcesz się dostać o nośników.
Skoro coś nie działa to sprawdź gdzie się zatrzymuje i to zmień.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Dyski udostępnione przez OpenWrt jak i z domowego nasa mam zmapowane jako dyski sieciowe pod Win. Zasoby z NASA widzę po VPN a te z routera nie:

Zamontowane dyski

4

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Czyli nie dopuściłeś ruchu pomiędzy wg a strefą lan, bo zakładam że zmapowałeś dyski po adresie ip routera na lanie. Albo zrobiłeś to po nazwie, co oznacza że na wg nie masz odpowiednich dnsów. Nadal to są ogólniki a ty nie sprawdziłeś w czym jest właściwie problem.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5 (edytowany przez zaawii 2024-02-18 09:41:05)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Tak jak piszesz - dyski mam zmapowane po IP będąc w swojej sieci. 
W interfejsie WG mam ustawione coś takiego:

Zapora w WireGuard

Uczę się dopiero tego wszystkiego. Nie bardzo wiem jak dokładnie sprawdzić gdzie leży problem. Potrzeba pokazać konf WG czy Ksmbd ?

Dodam, że to zrobiłem:

Firewall
Zmieniamy konfigurację firewalla - otwieramy port na wanie (w tym przykładzie: 55055, musi być taki sam jak w konfiguracji WireGuard) oraz zezwalamy na ruch pomiędzy WireGuard a lan/wan:


    # uci add firewall rule
    # uci set firewall.@rule[-1].src="wan"
    # uci set firewall.@rule[-1].target="ACCEPT"
    # uci set firewall.@rule[-1].proto="udp"
    # uci set firewall.@rule[-1].dest_port="55055"
    # uci set firewall.@rule[-1].name="wireguard"
    # uci add firewall zone
    # uci set firewall.@zone[-1].name='wg'
    # uci set firewall.@zone[-1].input='ACCEPT'
    # uci set firewall.@zone[-1].forward='ACCEPT'
    # uci set firewall.@zone[-1].output='ACCEPT'
    # uci set firewall.@zone[-1].masq='1'
    # uci set firewall.@zone[-1].network='wg0'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='wg'
    # uci set firewall.@forwarding[-1].dest='wan'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='wan'
    # uci set firewall.@forwarding[-1].dest='wg'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='wg'
    # uci set firewall.@forwarding[-1].dest='lan'
    # uci add firewall forwarding
    # uci set firewall.@forwarding[-1].src='lan'
    # uci set firewall.@forwarding[-1].dest='wg'
    # uci commit firewall
    # /etc/init.d/firewall restart

6

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Zakładając że zmapowałeś adres 192.168.1.1: zrób z komputera którym jesteś spięty wireguardem

ping 192.168.1.1

Jeżeli nie przechodzi to tu masz właśnie problem. Jeżeli klient ma skonfigurowane wyjście na świat prze wg (allowedips masz na 0.0.0.0 to problemem jest firewall i zezwolenie na ruch pomiędzy wg a lan). Jeżeli zaś w alllowedips masz wpisany tylko dostęp do określonej podsieci to masz albo problem z firewallem albo w allowedips nie uwzględniłeś adresu 192.168.1.1/32 i po prostu komputer nie wie gdzie kierować te pakiety. Sprawdź trasy na windowsie po uruchomieniu klienta wg jak wyglądają i czy trasa do adresu routera prowadzi przez tunel wg.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7 (edytowany przez zaawii 2024-02-18 11:13:26)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Ping do 192.168.1.1 mi przechodzi. Mogę się też zdalnie podłączyć do Luci routera.
Nie wiem czy dobrze sprawdzam ale trasa wygląda tak:

C:\Users\Lenovo>tracert 192.168.1.1

Tracing route to 192.168.1.1 over a maximum of 30 hops

  1    74 ms    83 ms    78 ms  192.168.1.1

Trace complete.

8

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Ale teraz jesteś w lanie że masz bezpośredni dostęp do routera? Pisałeś o dostępnie z zewnątrz i tak testuj wszystko.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

9 (edytowany przez zaawii 2024-02-18 11:38:16)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Jestem 200 km od domu połączony przez WG.

Gdy patrzę sobie np na trasę do wp.pl to jak rozumiem ona przechodzi przez tunel:

C:\Users\Lenovo>tracert wp.pl

Tracing route to wp.pl [212.77.98.9]
over a maximum of 30 hops:

  1    75 ms    79 ms    82 ms  10.9.0.1
  2    87 ms    79 ms    83 ms  192.168.187.3
  3    73 ms    86 ms    78 ms  ws-gajo1-gorn46.siec.internetunion.pl [188.121.30.142]
  4    91 ms    78 ms    80 ms  ws-mate2-wyst1.siec.internetunion.pl [188.121.30.189]
  5     *        *        *     Request timed out.
  6    95 ms    97 ms    94 ms  wp.thinx.pl [212.91.0.105]
  7    87 ms    91 ms    93 ms  rtr-int-1.rtr1.adm.wp-sa.pl [212.77.96.22]
  8    88 ms    96 ms    85 ms  www.wp.pl [212.77.98.9]

Trace complete.

Czyli ta do 192.168.1.1 też powinna iść przez 10.9.0.1 ?

Czy fakt, że na nasie mam postawionego AdGuarda (192.168.1.200) może tutaj mieszać ? Adres ten jest wpisany w OpenWrt jako DNS:

DNS1t

DNS2

Co to jest ok ?

10

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Adgaurd to tylko dns. On nie powinien mieć wpływu na routing.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

11 (edytowany przez zaawii 2024-02-18 11:54:26)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

To dlaczego trasa do 192.168.1.1 nie idzie tunelem WG a dostęp do OpenWrt i swojej sieci domowej mam ? Nie kumam już nic z tego wink

12 (edytowany przez zaawii 2024-02-18 12:38:43)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Ustawiłem jak u Ciebie ale i tak nie mam dostępów do dysków:

Zapora\


Stresy\


Wcześniej w "Objęte sieci" miałem tylko lan.

13 (edytowany przez zaawii 2024-02-18 13:02:48)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Masz  racje chyba już więcej nie kombinuje bo wytnę sobie całkiem dostęp. Pobawię się gdy wrócę do domu.

Co do wstawiania obrazków:

[img=Opis obrazka]adres obrazka[/img]

lub wklejasz to

https://i.ibb.co/w7G45SJ/Zrzut-ekranu6.png

14

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

@zaawii: pokaż ty konfigi wireguarda jeden i drugiej strony. Nie screenshoty z luci które można sobie w buty włożyć tylko zwartość plików testowych. Oraz cały plik network i firewall z tej maszyny gdzie masz podłączone dyski.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

15 (edytowany przez zaawii 2024-02-18 13:21:31)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Chętnie ale ja tylko na razie w GUI umiem wink W jakich plikach siedzi konfiguracja o którą pytasz ? 

Cezary napisał/a:

Oraz cały plik network i firewall z tej maszyny gdzie masz podłączone dyski.

Chodzi o konfiguracje laptopa gdzie zawartości tych dysków nie mogę wyświetlić ? Mam je podłączone na Win11 standardowo poprzez "Mapuj dysk sieciowy".

16

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Logujesz się przez ssh (co i jak masz w faq na górze tej strony) w później wykonujesz w konsoli

uci show network
uci show firewall

A w windowsie - masz konfig wireguarda. Pokaż go.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

17 (edytowany przez zaawii 2024-02-18 14:40:11)

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Konfiguracja klienta:

[Interface]
PrivateKey = xxx
Address = 10.9.0.3/32
DNS = 192.168.1.200

[Peer]
PublicKey = xxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = xxx:55055

Konfiguracja OpenWrt:

root@BPIR3:~# uci show network
network.loopback=interface
network.loopback.device='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.globals.ula_prefix='fd87:55f4:ba2c::/48'
network.@device[0]=device
network.@device[0].name='br-lan'
network.@device[0].type='bridge'
network.@device[0].ports='lan1' 'lan2' 'lan3' 'lan4' 'sfp2'
network.@device[0].ipv6='0'
network.lan=interface
network.lan.device='br-lan'
network.lan.proto='static'
network.lan.ip6assign='60'
network.lan.broadcast='192.168.1.255'
network.lan.dns='192.168.1.200'
network.lan.ipaddr='192.168.1.1'
network.lan.netmask='255.255.255.0'
network.@device[1]=device
network.@device[1].name='br-wan'
network.@device[1].type='bridge'
network.@device[1].ports='eth1' 'wan'
network.@device[1].ipv6='0'
network.@device[1].macaddr='C8:7F:54:45:37:60'
network.@device[2]=device
network.@device[2].name='eth1'
network.@device[2].macaddr='36:24:63:53:80:28'
network.@device[2].ipv6='0'
network.@device[3]=device
network.@device[3].name='wan'
network.@device[3].macaddr='C8:7F:54:45:37:60'
network.@device[3].ipv6='0'
network.wan=interface
network.wan.device='br-wan'
network.wan.proto='dhcp'
network.wan.peerdns='0'
network.wan.dns='192.168.1.200'
network.wan6=interface
network.wan6.device='br-wan'
network.wan6.proto='dhcpv6'
network.wan6.auto='0'
network.wan6.reqaddress='none'
network.wan6.reqprefix='auto'
network.wg0=interface
network.wg0.proto='wireguard'
network.wg0.private_key='xxx='
network.wg0.listen_port='55055'
network.wg0.addresses='10.9.0.1/24'
network.@wireguard_wg0[0]=wireguard_wg0
network.@wireguard_wg0[0].public_key='xxx'
network.@wireguard_wg0[0].route_allowed_ips='1'
network.@wireguard_wg0[0].allowed_ips='10.9.0.2/32'
network.@wireguard_wg0[0].persistent_keepalive='25'
network.@wireguard_wg0[0].description='smartfon1'
network.@wireguard_wg0[1]=wireguard_wg0
network.@wireguard_wg0[1].public_key='xxx'
network.@wireguard_wg0[1].route_allowed_ips='1'
network.@wireguard_wg0[1].allowed_ips='10.9.0.3/32'
network.@wireguard_wg0[1].persistent_keepalive='25'
network.@wireguard_wg0[1].description='laptop1'
root@BPIR3:~# uci show firewall
firewall.@defaults[0]=defaults
firewall.@defaults[0].syn_flood='1'
firewall.@defaults[0].input='REJECT'
firewall.@defaults[0].output='ACCEPT'
firewall.@defaults[0].forward='REJECT'
firewall.@zone[0]=zone
firewall.@zone[0].name='lan'
firewall.@zone[0].network='lan'
firewall.@zone[0].input='ACCEPT'
firewall.@zone[0].output='ACCEPT'
firewall.@zone[0].forward='ACCEPT'
firewall.@zone[1]=zone
firewall.@zone[1].name='wan'
firewall.@zone[1].network='wan' 'wan6'
firewall.@zone[1].input='REJECT'
firewall.@zone[1].output='ACCEPT'
firewall.@zone[1].forward='REJECT'
firewall.@zone[1].masq='1'
firewall.@zone[1].mtu_fix='1'
firewall.@forwarding[0]=forwarding
firewall.@forwarding[0].src='lan'
firewall.@forwarding[0].dest='wan'
firewall.@rule[0]=rule
firewall.@rule[0].name='Allow-DHCP-Renew'
firewall.@rule[0].src='wan'
firewall.@rule[0].proto='udp'
firewall.@rule[0].dest_port='68'
firewall.@rule[0].target='ACCEPT'
firewall.@rule[0].family='ipv4'
firewall.@rule[1]=rule
firewall.@rule[1].name='Allow-Ping'
firewall.@rule[1].src='wan'
firewall.@rule[1].proto='icmp'
firewall.@rule[1].icmp_type='echo-request'
firewall.@rule[1].family='ipv4'
firewall.@rule[1].target='ACCEPT'
firewall.@rule[2]=rule
firewall.@rule[2].name='Allow-IGMP'
firewall.@rule[2].src='wan'
firewall.@rule[2].proto='igmp'
firewall.@rule[2].family='ipv4'
firewall.@rule[2].target='ACCEPT'
firewall.@rule[3]=rule
firewall.@rule[3].name='Allow-DHCPv6'
firewall.@rule[3].src='wan'
firewall.@rule[3].proto='udp'
firewall.@rule[3].dest_port='546'
firewall.@rule[3].family='ipv6'
firewall.@rule[3].target='ACCEPT'
firewall.@rule[4]=rule
firewall.@rule[4].name='Allow-MLD'
firewall.@rule[4].src='wan'
firewall.@rule[4].proto='icmp'
firewall.@rule[4].src_ip='fe80::/10'
firewall.@rule[4].icmp_type='130/0' '131/0' '132/0' '143/0'
firewall.@rule[4].family='ipv6'
firewall.@rule[4].target='ACCEPT'
firewall.@rule[5]=rule
firewall.@rule[5].name='Allow-ICMPv6-Input'
firewall.@rule[5].src='wan'
firewall.@rule[5].proto='icmp'
firewall.@rule[5].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type' 'router-solicitation' 'neighbour-solicitation' 'router-advertisement' 'neighbour-advertisement'
firewall.@rule[5].limit='1000/sec'
firewall.@rule[5].family='ipv6'
firewall.@rule[5].target='ACCEPT'
firewall.@rule[6]=rule
firewall.@rule[6].name='Allow-ICMPv6-Forward'
firewall.@rule[6].src='wan'
firewall.@rule[6].dest='*'
firewall.@rule[6].proto='icmp'
firewall.@rule[6].icmp_type='echo-request' 'echo-reply' 'destination-unreachable' 'packet-too-big' 'time-exceeded' 'bad-header' 'unknown-header-type'
firewall.@rule[6].limit='1000/sec'
firewall.@rule[6].family='ipv6'
firewall.@rule[6].target='ACCEPT'
firewall.@rule[7]=rule
firewall.@rule[7].name='Allow-IPSec-ESP'
firewall.@rule[7].src='wan'
firewall.@rule[7].dest='lan'
firewall.@rule[7].proto='esp'
firewall.@rule[7].target='ACCEPT'
firewall.@rule[8]=rule
firewall.@rule[8].name='Allow-ISAKMP'
firewall.@rule[8].src='wan'
firewall.@rule[8].dest='lan'
firewall.@rule[8].dest_port='500'
firewall.@rule[8].proto='udp'
firewall.@rule[8].target='ACCEPT'
firewall.@redirect[0]=redirect
firewall.@redirect[0].dest='lan'
firewall.@redirect[0].target='DNAT'
firewall.@redirect[0].name='Plex'
firewall.@redirect[0].family='ipv4'
firewall.@redirect[0].proto='tcp'
firewall.@redirect[0].src='wan'
firewall.@redirect[0].src_dport='32300'
firewall.@redirect[0].dest_port='32400'
firewall.@redirect[0].dest_ip='192.168.1.207'
firewall.@rule[9]=rule
firewall.@rule[9].src='wan'
firewall.@rule[9].target='ACCEPT'
firewall.@rule[9].proto='udp'
firewall.@rule[9].dest_port='55055'
firewall.@rule[9].name='wireguard'
firewall.@zone[2]=zone
firewall.@zone[2].name='wg'
firewall.@zone[2].input='ACCEPT'
firewall.@zone[2].forward='ACCEPT'
firewall.@zone[2].output='ACCEPT'
firewall.@zone[2].masq='1'
firewall.@zone[2].network='wg0'
firewall.@forwarding[1]=forwarding
firewall.@forwarding[1].src='wg'
firewall.@forwarding[1].dest='wan'
firewall.@forwarding[2]=forwarding
firewall.@forwarding[2].src='wan'
firewall.@forwarding[2].dest='wg'
firewall.@forwarding[3]=forwarding
firewall.@forwarding[3].src='wg'
firewall.@forwarding[3].dest='lan'
firewall.@forwarding[4]=forwarding
firewall.@forwarding[4].src='lan'
firewall.@forwarding[4].dest='wg'

Wszystko robione wg tego poradnika.

Pytanie przy okazji - czy jeśli nigdzie nie używam ipv6 to mogę po prostu sobie usnąć sobie ten interfejs ? Nic nie rozwalę?

18

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Chyba wiem czego nie masz. W /etc/config/ksmbd masz domyślnie nasłuch tylko na lan, więc dodaj sobie

option interface 'lan wg0'

do sekcji global, zrestartuj i zobacz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

19

Odp: Brak dostępu do udostępnionych dysków (Ksmbd) przez WireGuard

Działa! Jesteś mistrz ! Dzięki wielkie.