проблема с wireguard

[bober777]

Пытаюсь поднять VPN на wireguard, но что-то плохо получается

есть кинетик 4G с белым IP в роли сервера, вот с такими настройками..

Плюс есть второй кинетик выступающий в роли клиента с такими настройками..

Проблема в том ,что со стороны сервера нормально пингуются как интерфейсы тунеля так и хосты за кинетиком "клиента" . Со стороны Клиента не пингуются ни интерфейс сервера (172,16,82,1) ни хосты за ним.

Куда копать?

Спасибо.

Сильно не пинайте если не правильно или не понятно оформил вопрос.

[Le ecureuil]

При непонятках с WG всегда начинайте с трех пунктов:

- поставить allow ips в 0.0.0.0/0 на обоих концах

- посмотреть на acl, разрешить все
- проверить security-level

Обычно этого хватает.

[bober777]

можно по понятней по последним двум пунктам. спасибо.

[Werld]

2 часа назад, bober777 сказал:

можно по понятней по последним двум пунктам. спасибо.

Для начала, на сервере временно удалите два других пира кроме WG-home, чтобы исключить пересечения по alowed ip. На сервере и клиенте выполните show interface wireguard0 , там будет видно security-level. Acl'ы, судя по скринам, у вас и так разрешают все.

[bober777]

login as: admin
admin@172.16.1.1's password:
KeeneticOS version 3.05.C.1.0-1, copyright (c) 2010-2020 Keenetic

THIS SOFTWARE IS A SUBJECT OF KEENETIC LIMITED END-USER LICENCE AG
USING IT YOU AGREE ON TERMS AND CONDITIONS HEREOF. FOR MORE INFORM
CHECK https://keenetic.com/legal

(config)> show interface wireguard0
Command::Base error[7405602]: argument parse error.

[Werld]

1 час назад, bober777 сказал:

login as: admin
admin@172.16.1.1's password:
KeeneticOS version 3.05.C.1.0-1, copyright (c) 2010-2020 Keenetic

THIS SOFTWARE IS A SUBJECT OF KEENETIC LIMITED END-USER LICENCE AG
USING IT YOU AGREE ON TERMS AND CONDITIONS HEREOF. FOR MORE INFORM
CHECK https://keenetic.com/legal

(config)> show interface wireguard0
Command::Base error[7405602]: argument parse error.

Надеюсь это вас не остановило и вы попробовали Wireguard0 с большой буквы)

[Bahtiyor Kholdarov]

Мдя....

Тогда на сервере.

 show interface Wireguard0

               id: Wireguard0
            index: 0
             type: Wireguard
      description: WG-Server
   interface-name: Wireguard0
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 50
          address: 172.16.82.1
             mask: 255.255.255.0
           uptime: 423149
           global: no
   security-level: public

        wireguard:
           public-key: wBtfkhiO05eGGnmGBLM2CMtCHH3AV2r5OenoO4iZJEI=
          listen-port: 17216
               status: up

                 peer:
               public-key:
                           2jI9FaIf0XdF4qqvTjydcFUG6LETuSz/Da+lVcKYRC4=
                    local: 0.0.0.0
               local-port: 17216
                      via:
                   remote: 0.0.0.0
              remote-port: 0
                  rxbytes: 103645348
                  txbytes: 102785040
           last-handshake: 103
                   online: yes
 

[bober777]

На клиенте

show interface Wireguard0

               id: Wireguard0
            index: 0
             type: Wireguard
      description: WG-Home
   interface-name: Wireguard0
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 50
          address: 172.16.82.2
             mask: 255.255.255.0
           uptime: 431965
           global: no
   security-level: public

        wireguard:
           public-key: 2jI9FaIf0XdF4qqvTjydcFUG6LETuSz/Da+lVcKYRC4=
          listen-port: 48950
               status: up

                 peer:
               public-key:
                           wBtfkhiO05eGGnmGBLM2CMtCHH3AV2r5OenoO4iZJEI=
                    local: 192.168.8.100
               local-port: 48950
                      via: CdcEthernet0
                   remote: 94.231.147.251
              remote-port: 17216
                  rxbytes: 4438192
                  txbytes: 5491864
           last-handshake: 7
                   online: yes
 

[bober777]

А в ответ тишина....☹️

[Le ecureuil]

Если тут все подвисло на ваш взгляд, можете в поддержку написать.

[bober777]

Подожду, может кто и поможет. .

[stefbarinov]

В 25.11.2020 в 21:52, bober777 сказал:

Подожду, может кто и поможет. .

Давайте удалёнку, посмотрим что не так.....

Изменено 29 ноября, 2020 пользователем stefbarinov

[stefbarinov]

Сегодня заметил следующую ситуацию: KN-1010 (3.5.4),является домашним vpn-сервером IKEv2 / Wireguard. Клиент - ПК на работе под управлением Windows 8.1 Pro. Так вот, если с ПК цепляюсь к KN-1010 по протоколу IKEv2, используя основной шлюз в удалённой сети, то на ПК работает и интернет (шлюз домашнего роутера), и локальная сеть организации (пингуются сервера, МФУ итд.), но как только стоит подключиться к KN-1010 по протоколу Wireguard (инет завернут также в туннель (ip nat Wireguard0, interface Wireguard0 security-level private)), локальная связь обрывается (не пингуются ни сервера, ни МФУ), остается только выход в интернет. Если NAT отключаю (no ip nat Wireguard0, interface Wireguard0 security-level public), локальная связь восстанавливается. С маршрутами игрался, вроде всё перепробовал...... Нужно сделать так, чтобы ПК имел основным шлюзом - домашний роутер, но при этом я мог спокойно обращаться к ресурсам организации.

[bober777]

Вопрос закрыт. Спасибо.

[Ahmed Ensar]

interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save

sorununu anlamadım fakat wireguard vpn internet erişmesi için için ben bu komutları kullanıyorum.

[Le ecureuil]

В 30.11.2020 в 16:06, stefbarinov сказал:

Сегодня заметил следующую ситуацию: KN-1010 (3.5.4),является домашним vpn-сервером IKEv2 / Wireguard. Клиент - ПК на работе под управлением Windows 8.1 Pro. Так вот, если с ПК цепляюсь к KN-1010 по протоколу IKEv2, используя основной шлюз в удалённой сети, то на ПК работает и интернет (шлюз домашнего роутера), и локальная сеть организации (пингуются сервера, МФУ итд.), но как только стоит подключиться к KN-1010 по протоколу Wireguard (инет завернут также в туннель (ip nat Wireguard0, interface Wireguard0 security-level private)), локальная связь обрывается (не пингуются ни сервера, ни МФУ), остается только выход в интернет. Если NAT отключаю (no ip nat Wireguard0, interface Wireguard0 security-level public), локальная связь восстанавливается. С маршрутами игрался, вроде всё перепробовал...... Нужно сделать так, чтобы ПК имел основным шлюзом - домашний роутер, но при этом я мог спокойно обращаться к ресурсам организации.

Напишите в поддержку пожалуйста.

[stefbarinov]

50 минут назад, Le ecureuil сказал:

Напишите в поддержку пожалуйста.

Так и сделал) 

[stefbarinov]

@Le ecureuil, Это нормально, когда один из клиентов столько "потребляет" трафика, шлюз в инет у него свой, чекбокс "Использовать для входа в Интернет" не трогал. У клиента "WG-BRZ" аналогичные настройки, но такого не происходит.

Изменено 4 декабря, 2020 пользователем stefbarinov

[Le ecureuil]

Трудно сказать. Попробуйте снять дамп трафика на wireguard-интерфейсе, чтобы понять что там такое гуляет.

[Terteriary]

В 30.11.2020 в 16:06, stefbarinov сказал:

Сегодня заметил следующую ситуацию: KN-1010 (3.5.4),является домашним vpn-сервером IKEv2 / Wireguard. Клиент - ПК на работе под управлением Windows 8.1 Pro. Так вот, если с ПК цепляюсь к KN-1010 по протоколу IKEv2, используя основной шлюз в удалённой сети, то на ПК работает и интернет (шлюз домашнего роутера), и локальная сеть организации (пингуются сервера, МФУ итд.), но как только стоит подключиться к KN-1010 по протоколу Wireguard (инет завернут также в туннель (ip nat Wireguard0, interface Wireguard0 security-level private)), локальная связь обрывается (не пингуются ни сервера, ни МФУ), остается только выход в интернет. Если NAT отключаю (no ip nat Wireguard0, interface Wireguard0 security-level public), локальная связь восстанавливается. С маршрутами игрался, вроде всё перепробовал...... Нужно сделать так, чтобы ПК имел основным шлюзом - домашний роутер, но при этом я мог спокойно обращаться к ресурсам организации.

Здравствуйте, у меня такая же проблема... Вы нашли решение?

[stefbarinov]

2 часа назад, Terteriary сказал:

Здравствуйте, у меня такая же проблема... Вы нашли решение?

Добрый день. Нашел. Нужно было снять галочку в чек боксе "Блокировать нетуннелированный трафик". Если ситуация не изменится, то на ПК прописать маршрут в нужную сеть (до нужного хоста) по типу route -p add 1.1.1.1 (нужный хост) mask 255.255.255.255 2.2.2.2 (шлюз, за которым ПК)

Изменено 27 сентября, 2021 пользователем stefbarinov