1

Temat: Dostęp do drugiej sieci LAN

Cześć,
szukam w miarę prostego rozwiązania na uzyskanie dostępu do urządzeń (dokładnie kamer IP) z drugiej sieci.

W mojej głównej lokalizacji posiadam Synology NAS z usługą DDNS i chciałbym na tym urządzeniu skonfigurować serwer dla wybranej usługi.
W drugiej lokalizacji do której chcę uzyskać dostęp jest router ZTE MF286D OpenWrt bez publicznego i statycznego adres IP.

Próbowałem skonfigurować połączenie z wykorzystaniem OpenVPN według tego tutoriala:
https://eko.one.pl/?p=openwrt-openvpntu … lanklienta

Zatrzymałem się na poniższym kroku:

Dodajemy katalog gdzie będą przechowywane konfiguracje specyficzne dla klientów:
# uci set openvpn.home.client_config_dir='/etc/openvpn/ccd'
Wskazujemy routing specyficzny dla klienta A:
# mkdir -p /etc/openvpn/ccd
# echo "iroute 192.168.2.0 255.255.255.0" >> /etc/openvpn/ccd/malgosia


Plik klienta OpenVPN generowany na Synology ma autoryzację na podstawie loginu i hasła, nie certyfikatu klienta. Nie posiada CN. Nie mogę użyć iroute - bo to działą tylko z certyfikatami klienta, gdzie CN identyfikuje klienta - przynajniej tak rozumiem. W związku z tym moja konfiguracja klienta VPN nie pozwala zastosowanie tego rozwiązania

Czy możecie doradzić co w takiej sytuacji? Może użyć jakiś innych rozwiązać ZeroTier, WireGuard? Na synology mam do dyspozycji różne pakiety, dockety oraz VM's.
Zależy mi na prostym rozwiązaniu dzięki, którym uzyskam dostęp do kamer w drugiej lokalizacji.

2

Odp: Dostęp do drugiej sieci LAN

Możesz wireguardem to spiąć, podając odpowiednie allowedips i konfigurację firewalla możesz uzyskać dostęp do sieci lan klienta.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3

Odp: Dostęp do drugiej sieci LAN

Skonfigurowałem serwer Wireguard. Sprawdziłem działanie VPN'a na laptopie podłączonego do Hotspota i połączenie nawiązuje z serwerem oraz siecią lokalną serwera wireguard.

Skonfigurowałem klienta OpenWRT, ale niestety bezskutecznie - nie działa

Plik konfiguracyjny klienta dla OpenWRT: https://ibb.co/6zw5CNK
Interfejs WireGuard - https://ibb.co/TM1wS2Yj
Ustawienia główne - https://ibb.co/67gHrMwC
Ustawienia zaawansowane - https://ibb.co/yc1jj8hK
Ustawienia zapory - https://ibb.co/KjHyJ7zK
Peery - https://ibb.co/7tXnWJFc

Screen z Gui WireGuard - https://ibb.co/twcRbzp1
Widać na nim, że klient na laptopie (test4) łączy się prawidłowo, natomiast klient OpenWRT (test5) już nie

Zaznaczę tylko, że póki co konfiguracja nie jest pełna - nie zawiera konfiguracji, która pozwoli osiągnąć połączenie w obie strony. Uczę się tego i stawiam kroki po mału. Najpierw chciałbym osiągnąć to co na laptopie uzyskałem. Czyli nawiązać połączenie z OpenWRT do Serwera WireGuard.

Jeśli to będzie działało dopiero wtedy będę konfigurował dostęp do całej sieci OpenWRT z mojej głównej lokalizacji

Moja adresacja:
Główna lokalizacja (z serwerem WireGuard): 192.168.0.0
Druga lokalizacja (z OpenWRT): 192.168.1.0
Adresacja VPN: 10.8.0.0

Proszę o wskazówki i poprawki do wykonania

4

Odp: Dostęp do drugiej sieci LAN

Zarówno tx i rx są zerami, on nawet nie próbował nawiązać połączenia. Zrestartuj całość.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5

Odp: Dostęp do drugiej sieci LAN

Co dokładnie masz na myśli?
OpenWRT oraz WireGuarda restartowalem wielokrotnie

6

Odp: Dostęp do drugiej sieci LAN

Mam dokładnie na myśli to co napisałem.

Ten host który wpisałeś w endpointa w ogóle ci się pinguje z poziomu openwrt?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

7

Odp: Dostęp do drugiej sieci LAN

Tak, host wpisany w endpointa odpowiada na ping zarówno z poziomu SSH OpenWRT, jak i z urządzeń podłączonych do sieci OpenWRT.

8

Odp: Dostęp do drugiej sieci LAN

Dodam jeszcze, że użyłem przed chwilą tego samego pliku konfiguracyjnego na laptopie podpiętym do sieci OpenWRT, który wgrałem wcześniej na OpenWRT i działa prawidłowo. Łącze się z drugą siecią.

Jestem prawie pewny, że problem leży po stronie OpenWRT.

Może problem gdzieś leży w zaporze?

https://ibb.co/fG9THr26
https://ibb.co/YT0zQs98

Brakuje mi już pomysłów i nie wiem gdzie dalej szukać

Interfejs WireGuard na OpenWRT konfigurowałem zarówno ręcznie jak również poprzez użycie opcji "Wczytaj konfiguracje" - efekt osiągałem naturalnie ten sam

9

Odp: Dostęp do drugiej sieci LAN

Pokaż konfigi. Luci nie nadaje sie do diagnozowania problemów.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10

Odp: Dostęp do drugiej sieci LAN

Poniżej konfigi

https://ibb.co/2024znx5
https://ibb.co/N6shtLyj

11

Odp: Dostęp do drugiej sieci LAN

Brakuje Ci parametru "route_allowed_ips". Zobacz ten tutorial, sekcja dla klienta: https://eko.one.pl/?p=openwrt-wireguard

W kliencie dobrze też by było zmienić maskę na "/32" w "addresses", bo klient używa 1 IP.

12

Odp: Dostęp do drugiej sieci LAN

Dodałem jak prosiłeś

config interface 'WireGuard'
list addresses '10.8.0.6/32'

config wireguard_WireGuard
option route_allowed_ips '1'

Niestety w dalszym ciągu brak połaczenia

13

Odp: Dostęp do drugiej sieci LAN

Chciałbym przetestować połączenie z innym plikiem konfiguracyjnym do jakiegoś innego serwera WireGuard.

Czy jest ktoś w stanie przekazać taki plik lub wskazać skąd go zdobyć, żeby zweryfikować czy nawiąże połączenie z innym serwerem?

Nie wiem gdzie dalej szukać

14

Odp: Dostęp do drugiej sieci LAN

https://www.vpnjantit.com/free-wireguard-port-443

W brazylii. Działa, sprawdziłem właśnie, choć za szybki to on nie jest.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

15

Odp: Dostęp do drugiej sieci LAN

Nie działał mi na laptopie podpiętym pod OpenWRT, dostawałem komunikat: no such host is known
Zmieniłem DNS'y na routerze z dns orange na 1.1.1.1 oraz 8.8.8.8 - teraz na laptopie działa

Niestety na OpenWRT nie działa

Config Network: https://pastebin.com/Mwp7hT67
Config Firewall: https://pastebin.com/CwyhrqSu

Musze coś źle wyklikiwać na OpenWRT...

Ktoś jest w stanie powiedzieć co?

16

Odp: Dostęp do drugiej sieci LAN

Masz dwa razy wireguard_wg0 i nie masz route_allowed_ips '1' - to ważne jeżeli ma trasy robić.

list allowed_ips '::/0'

możesz wyrzuć.

Firewall -

config zone 'wg0'
    option name 'wg0'
    list network 'wg0'
    option input 'REJECT'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'

config forwarding
    option src 'lan'
    option dest 'wg0'

config forwarding
    option dest 'lan'
    option src 'wg0'

config forwarding
    option dest 'wan'
    option src 'wg0'

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

17

Odp: Dostęp do drugiej sieci LAN

Po wejściu Siec -> Interfejsy mam komunikat

RPCError
RPC call to uci/get failed with ubus code 9: Nieokreślony błąd
  at ClassConstructor.handleCallReply (http://192.168.1.1/luci-static/resource … 93631:15:3)

Poddaje sie, temat do zamknięcia

18

Odp: Dostęp do drugiej sieci LAN

Literówkę zrobiłeś w networku, np. zapomniałeś gdzieś '

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

19

Odp: Dostęp do drugiej sieci LAN

Wpisałem route_allowed_ips '1' zamiast option route_allowed_ips '1'

Network: https://pastebin.com/3eD3ddVD
Firewall: https://pastebin.com/tR04SVcb

Dalej nie działa i zniknęła mi opcja Status -> WireGuard Status

20

Odp: Dostęp do drugiej sieci LAN

Pokaż wynik

ifstatus wg0
route -n

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

21

Odp: Dostęp do drugiej sieci LAN

W linkach poniżej wyniki:

ifstatus wg0: https://pastebin.com/X9DyM13H
route -n: https://pastebin.com/NyVTNBe8

22

Odp: Dostęp do drugiej sieci LAN

W ogóle routingu nie masz przez wg

Wywal z firewalla    list network 'wg0' z skecji wan

Zrób

ifdown wg9
ifup wg0
lograd

i pokaż co wyszło.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

23

Odp: Dostęp do drugiej sieci LAN

Usunąłem list network 'wg0" z sekcji wan

Wykonałem

ifdown wg9
ifup wg0

lograd: https://pastebin.com/5ner7yQ2

Po tych operacjach VPN się zapiął, ale po chwili pojawił się problem z wczytywaniem stron. Postawiłem zatrzymać interfejs VPN. Po chwili pojawił się problem z DNS "Nie znaleziono serwera DNS" przy wczytywaniu dowolnej strony. Próbowałem podnieś VPN, ale nie wstał. DNS'y dalej nie działają.

24

Odp: Dostęp do drugiej sieci LAN

Ten serwer nie jest zbyt ciekawy, więc to że się strony nie wczytują to się nie przejmuj. Jak zatrzymałeś vpn to straciłeś trasę domyślną i musisz ifup wan zrobić - to normalnie zachowanie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

25

Odp: Dostęp do drugiej sieci LAN

Dzięki Cezary, zaczyna to się wszystko układać w całość.
Przekonfigurowałem interfejs wg0 i peera pod swój serwer wireguard. Wszystko mi się ładnie łączy. Chyba zrozumiałem za co odpowiadają poszczególny linijki w configu network przy interfejsie wg0

Ustawiłem w peerze:
list allowed_ips '192.168.0.0/24'
option route_allowed_ips '1'

Dzięki temu przez wg0 kieruje tylko ruch do sieci 192.168.0.0/24 i faktycznie ping dziala chociazby do bramy 192.168.0.1
Natomiast jeśli wykonam tracert wp.pl to ruch nie idzie przez VPN

Zakładam, że na OpenWRT mam już wszystko skonfigurowane.

Chciałbym teraz z 192.168.0.0/24 uzyskać dostęp do wszystkich urządzeń 192.168.1.0/24.

Obecnie z urządzenia 192.168.0.11 nie działa mi ping do 192.168.1.1 oraz 10.8.0.1

Jakie sa następne kroki? Muszą skonfigurowac ruch na serwerze wireguard?