Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

WireGuard работает в одну сторону (не пингуется в обе)

aarnet
 Поделиться

Рекомендуемые сообщения

aarnet Продвинутый пользователь

aarnet

Опубликовано
Опубликовано

Имеем WireGuard туннель между двумя сетями, Keenetic GIGA-1010 и GIGA-1011
WireGuard 10.0.0.1/24 ("сервер" с белым IP) и 10.0.0.2/24 ("клиент" с серым/динамическим)
сети: "сервер" GIGA-1010  - 10.20.120.0/24 (10.20.121.1) и "клиент" GIGA-1011 - 10.20.121.0/24 (10.20.121.1)
2022-08-13_181935.thumb.jpg.46ce9ae0db8cf35a8df0bf2c72feb99b.jpg
WireGuard поднимется без каких либо проблем.
из одной сети в другую не пингуется ничего ни в одну сторону, ни в другую.
единственно что пингуется это IP WireGuard со "своей" стороны - из сети 10.20.120.0/24 -> 10.0.0.1 и из сети 10.20.121.0/24 -> 10.0.0.2

при этом доступ к ресурсам из сети 10.20.121.0/24 в сеть 10.20.120.0/24  и обратно есть. доступны вэбморды как Keenetic "сервер" 10.20.120.1 так и других устройств в сети (NAS), есть доступ к сетевым папкам...

из сети "сервера" 10.20.120.0/24 в сеть "клинета" 10.20.121.0/24 доступ есть к вэбморде Keenetic "клиент", и вэб интерфесам другого оборудования, при этом к сетевым папкам диска подключенного к кинетику доступ есть, к сетевым папкам другого оборудования - доступа нет.

маршруты до сетей для интерфейса WG прописаны прописаны с обоих сторон туннеля
правила "разрешить все" межсетевого экрана прописаны так же как для TCP так и для UDP
в настройках WG в разрешенных сетях поставил уже 0.0.0.0/0 - не помогает.

куда копать ?

stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано
12 часа назад, aarnet сказал:

как посмотреть через CLI реально разрешенные подсети для WG ?

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

  • Спасибо 1
aarnet Продвинутый пользователь

aarnet

Опубликовано
  • Автор
Опубликовано
2 часа назад, stefbarinov сказал:

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

нда.... спасибо
надо FAQ читать внимательнее мне в будущем...  уверен был что для TCP и UDP надо было включать :(

  • 2 недели спустя...
AlexeyAnikin1976 Пользователь

AlexeyAnikin1976

Опубликовано
Опубликовано

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

WG-S - conf.png

WG-S - static.png

WG-S - route.png

WG-S - tracert.png

stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано (изменено)
10 часов назад, AlexeyAnikin1976 сказал:

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

WG-S - conf.png

WG-S - static.png

WG-S - route.png

WG-S - tracert.png

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

Изменено пользователем stefbarinov
AlexeyAnikin1976 Пользователь

AlexeyAnikin1976

Опубликовано
Опубликовано (изменено)
4 часа назад, stefbarinov сказал:

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

Всё сделал чётко по инструкции! Но!...

Посмотрите на трассировку из сети 192,168,1,0 - дальше роутера не идёт. Я имею ввиду должен быть прыжок на интерфейс ВГ.

Но ведь два пинга как-то проходят во вторую сеть (см. ниже)!!!

Посмотрите на трассировку из сети 192,168,2,0 - пингуется роутер и НАС. На 9-ом адресе сервер - уже нет :(

Вообще ума не приложу - по конфе всё ровно, а в реале - глюк :(

WG-S - tracert from Baza.png

Изменено пользователем AlexeyAnikin1976
!!!
stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано (изменено)

В МСЭ точно открыли протокол IP для всего с обоих сторон? 192.168.1.9 - это ПК?

Изменено пользователем stefbarinov
AlexeyAnikin1976 Пользователь

AlexeyAnikin1976

Опубликовано
Опубликовано
16 минут назад, stefbarinov сказал:

В МСЭ точно открыли протокол IP для всего с обоих сторон? 192.168.1.9 - это ПК?

Всё точно по инструкции. Со стороны ВГ-сервера неправильно указал маску - теперь есть прыжок на интерфейс!

Теперь только одна проблема: в первой сети роутер и НАС, во второй роутер и сетевой принтер - пингуются; компьютеры - внутри локалок пингуются, через тунель никак.

AlexeyAnikin1976 Пользователь

AlexeyAnikin1976

Опубликовано
Опубликовано (изменено)

Решение

https://help.keenetic.com/hc/ru/articles/115005881865-Настройка-Брандмауэра-Windows-для-подключений-из-сети-за-VPN-сервером-Keenetic

Добавить в разрешённые - сеть туннеля и сеть пира.

Изменено пользователем AlexeyAnikin1976
!!!

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю