роутинг через wireguard

[bzzztomas77]

день добрый, имеется wireguard link между двумя устройствами,  рабочий. вот я из одной сети за keenetic giga пингую wireguard

интерфейс машины на linux:

$ ping 192.168.11.4
PING 192.168.11.4 (192.168.11.4): 56 data bytes
64 bytes from 192.168.11.4: icmp_seq=0 ttl=63 time=51.121 ms
64 bytes from 192.168.11.4: icmp_seq=1 ttl=63 time=51.133 ms

и на linux'овом интерфейсе вижу, соответственно:

0:04:05.968967 IP 192.168.1.63 > 192.168.11.4: ICMP echo request, id 42162, seq 0, length 64
10:04:05.969034 IP 192.168.11.4 > 192.168.1.63: ICMP echo reply, id 42162, seq 0, length 64

теперь пытаюсь принудительно отправить трафик на определенный ip через wireguard:

(config)> show ip ro
...
67.23.7.119/32       192.168.11.4      Wireguard0                        0      

не работает, на linux'овом интерфейсе тишина, не роутятся туда пакеты. пробовал и ping и telnet.

подскажите, пожалуйста, куда смотреть.

[vasek00]

На роутере поднят WG

Как то так

Скрытый текст

(config)> show ip ro
================================================================================
Destination          Gateway           Interface                         Metric 
================================================================================
0.0.0.0/0            0.0.0.0           PPPoE0                            0      
10.10.132.0/24       0.0.0.0           Wireguard0                        0      
1хх.ххх.0.1/32       0.0.0.0           PPPoE0                            0      
...


На роутере

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.132.101  P-t-P:10.10.132.101  Mask:255.255.255.0

/ # ip route add 8.8.8.8/32 dev nwg0


(config)> show ip ro
================================================================================
Destination          Gateway           Interface                         Metric 
================================================================================
0.0.0.0/0            0.0.0.0           PPPoE0                            0      
8.8.8.8/32           0.0.0.0           Wireguard0                        0      
10.10.132.0/24       0.0.0.0           Wireguard0                        0      
1хх.ххх.0.1/32       0.0.0.0           PPPoE0                            0      
...


/ # traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 46 byte packets
 1  172.WG.1 (172.WG.1)  25.115 ms  25.229 ms  25.080 ms
 2  172....1 (172....1)  25.928 ms  25.948 ms  26.275 ms

 Тут 172.х.х.х и есть WG, просто 10.х.х.х стоят в настройках Wireguard на роутере.

/ # traceroute 4.4.4.4
traceroute to 4.4.4.4 (4.4.4.4), 30 hops max, 46 byte packets
 1  1хх.ххх.0.1 (1хх.1хх.0.1)  12.642 ms  4.193 ms  4.285 ms
 2  2хх.ххх.ххх.248 (2хх.ххх.ххх.248)  3.868 ms  2хх.ххх.ххх.244 (2хх.ххх.ххх.244)  4.077 ms  2хх.ххх.ххх.248 (2хх.ххх.ххх.248)  3.919 ms
 

 

 

[bzzztomas77]

21 hours ago, vasek00 said:

На роутере поднят WG

 

пока не понял что Вы хотите сказать. у меня в sh ip ro показан целевой маршрут, он не срабатывает. проверяю tcpdump'ом на стороне linux, пример тоже показал.

Изменено 23 октября, 2021 пользователем bzzztomas77

[vasek00]

2 часа назад, bzzztomas77 сказал:

пока не понял что Вы хотите сказать.

день добрый, имеется wireguard link между двумя устройствами ... теперь пытаюсь принудительно отправить трафик на определенный ip через wireguard

 

Только то что так же поднят линк wireguard (роутер и сервер в интернете) и добавление маршрута через wireguard отработало как надо, т.е. маршрут по умолчанию на

0.0.0.0/0            0.0.0.0           PPPoE0    

при добавление маршрута 8.8.8.8 пакеты уходят по интерфейсу wireguard

/ # ip route add 8.8.8.8/32 dev nwg0

8.8.8.8/32           0.0.0.0           Wireguard0

и как итог traceroute 8.8.8.8 идет через интерфейс wireguard, а traceroute 4.4.4.4 идет через PPPoE

При добавление маршрута так же в виде

/ # ip ro add 4.4.4.4/32 via 10.10.132.101


(config)> show ip ro
================================================================================
Destination          Gateway           Interface                         Metric 
================================================================================
0.0.0.0/0            0.0.0.0           PPPoE0                            0      
4.4.4.4/32           10.10.132.101     Wireguard0                        0      
8.8.8.8/32           0.0.0.0           Wireguard0                        0
...

где 10.10.132.101

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.132.101  P-t-P:10.10.132.101  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1324  Metric:1
          RX packets:33683400 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24820606 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:42415223257 (39.5 GiB)  TX bytes:2825301684 (2.6 GiB)

аналогично как и 8.8.8.8 пакеты идут через интерфейс wireguard

На клиенте в локальной сети роутера аналогично tracert 8.8.8.8 через wireguard, a tracert mail.ru через основной интерфейс роутера pppoe.

 

[bzzztomas77]

16 minutes ago, vasek00 said:

при добавление маршрута 8.8.8.8 пакеты уходят по интерфейсу wireguard

/ # ip route add 8.8.8.8/32 dev nwg0

8.8.8.8/32           0.0.0.0           Wireguard0

вот тут у меня иначе - я не в 0.0.0.0 отправляю, а на конкретный IP, так как на wireguard0 сидит несколько peer'ов

 

[vasek00]

32 минуты назад, bzzztomas77 сказал:

вот тут у меня иначе - я не в 0.0.0.0

 

Я второй маршрут 4.4.4.4 спец. добавил с указанием интерфейса и он так же отработал.

[bzzztomas77]

4 hours ago, vasek00 said:

Я второй маршрут 4.4.4.4 спец. добавил с указанием интерфейса и он так же отработал.

ну тогда все загадочнее и загадочнее

[bzzztomas77]

6 hours ago, vasek00 said:

Я второй маршрут 4.4.4.4 спец. добавил с указанием интерфейса и он так же отработал.

а на wireguard у вас сколько peer'ов? у меня 3-4, основная точка-сервер, два постоянных клиента на удаленных точка и один мобильный клиент.

[vasek00]

46 минут назад, bzzztomas77 сказал:

а на wireguard у вас сколько peer'ов? у меня 3-4, основная точка-сервер, два постоянных клиента на удаленных точка и один мобильный клиент.

Один, но могу проверить на двух keenetic с несколькими пирами.

[bzzztomas77]

Just now, vasek00 said:

Один, но могу проверить на двух keenetic с несколькими пирами.

буду премного благодарен

[vasek00]

13 часа назад, bzzztomas77 сказал:

буду премного благодарен

Для начала проверьте разрешенные сети в  настройках WG (WEB), попробуйте добавить в разрешенные 0.0.0.0/0 или хотя бы ваш введенный IP -

67.23.7.119/32

строчка "allow-ips"

Скрытый текст

interface Wireguard0
...
    security-level public
...
    wireguard peer zG.....0= !kn-E
        allow-ips ....
        allow-ips ...
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Uf......jA= !a-E
        allow-ips ....
    !

 

 

[bzzztomas77]

7 hours ago, vasek00 said:

Для начала проверьте разрешенные сети в  настройках WG (WEB), попробуйте добавить в разрешенные 0.0.0.0/0 или хотя бы ваш введенный IP

спасибо большое! помогло