Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

WireGuard работает в одну сторону (не пингуется в обе)

aarnet
 Share

Recommended Posts

aarnet Advanced Member

aarnet

Posted
Posted

Имеем WireGuard туннель между двумя сетями, Keenetic GIGA-1010 и GIGA-1011
WireGuard 10.0.0.1/24 ("сервер" с белым IP) и 10.0.0.2/24 ("клиент" с серым/динамическим)
сети: "сервер" GIGA-1010  - 10.20.120.0/24 (10.20.121.1) и "клиент" GIGA-1011 - 10.20.121.0/24 (10.20.121.1)
2022-08-13_181935.thumb.jpg.46ce9ae0db8cf35a8df0bf2c72feb99b.jpg
WireGuard поднимется без каких либо проблем.
из одной сети в другую не пингуется ничего ни в одну сторону, ни в другую.
единственно что пингуется это IP WireGuard со "своей" стороны - из сети 10.20.120.0/24 -> 10.0.0.1 и из сети 10.20.121.0/24 -> 10.0.0.2

при этом доступ к ресурсам из сети 10.20.121.0/24 в сеть 10.20.120.0/24  и обратно есть. доступны вэбморды как Keenetic "сервер" 10.20.120.1 так и других устройств в сети (NAS), есть доступ к сетевым папкам...

из сети "сервера" 10.20.120.0/24 в сеть "клинета" 10.20.121.0/24 доступ есть к вэбморде Keenetic "клиент", и вэб интерфесам другого оборудования, при этом к сетевым папкам диска подключенного к кинетику доступ есть, к сетевым папкам другого оборудования - доступа нет.

маршруты до сетей для интерфейса WG прописаны прописаны с обоих сторон туннеля
правила "разрешить все" межсетевого экрана прописаны так же как для TCP так и для UDP
в настройках WG в разрешенных сетях поставил уже 0.0.0.0/0 - не помогает.

куда копать ?

aarnet Advanced Member

aarnet

Posted
  • Author
Posted

как посмотреть через CLI реально разрешенные подсети для WG ?

stefbarinov Honored Flooder

stefbarinov

Posted
Posted
12 часа назад, aarnet сказал:

как посмотреть через CLI реально разрешенные подсети для WG ?

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

  • Thanks 1
aarnet Advanced Member

aarnet

Posted
  • Author
Posted
2 часа назад, stefbarinov сказал:

В МСЭ для Wireguard открыть протокол ip для всего с обоих сторон

нда.... спасибо
надо FAQ читать внимательнее мне в будущем...  уверен был что для TCP и UDP надо было включать :(

  • 2 weeks later...
AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

WG-S - conf.png

WG-S - static.png

WG-S - route.png

WG-S - tracert.png

stefbarinov Honored Flooder

stefbarinov

Posted
Posted (edited)
10 часов назад, AlexeyAnikin1976 сказал:

Прошу помощи!

Всё по инструкции!

"" ...Настроил WireGuard меж двух Keenetic:
– Viva (192.168.1.1, 172.16.10.1)
– LTE (192.168.2.1, 172.16.10.2)
Ping между сетями не бегает За исключением NAS (192.168.1.10) – он из второй сети пингуется, но подключится к нему низя
Маршруты, разрешения – всё по инструкции (один же пинг бегает!)...""

Вроде нашёл косяк (во вложении) - не могу понять "почему?!"

WG-S - conf.png

WG-S - static.png

WG-S - route.png

WG-S - tracert.png

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

Edited by stefbarinov
AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted (edited)
4 часа назад, stefbarinov сказал:

Я так понимаю ,что viva - это у вас сервер WG. "Проверка активности" оставить пустым. На стороне LTE в настройках пира указываем сети 192.168.1.0/24 172.16.10.0/24, проверка активности оставляем 15 сек, добавляем маршрут в сеть 192.168.1.0/24 через WG соединение.

Всё сделал чётко по инструкции! Но!...

Посмотрите на трассировку из сети 192,168,1,0 - дальше роутера не идёт. Я имею ввиду должен быть прыжок на интерфейс ВГ.

Но ведь два пинга как-то проходят во вторую сеть (см. ниже)!!!

Посмотрите на трассировку из сети 192,168,2,0 - пингуется роутер и НАС. На 9-ом адресе сервер - уже нет :(

Вообще ума не приложу - по конфе всё ровно, а в реале - глюк :(

WG-S - tracert from Baza.png

Edited by AlexeyAnikin1976
!!!
stefbarinov Honored Flooder

stefbarinov

Posted
Posted (edited)

В МСЭ точно открыли протокол IP для всего с обоих сторон? 192.168.1.9 - это ПК?

Edited by stefbarinov
stefbarinov Honored Flooder

stefbarinov

Posted
Posted
40 минут назад, AlexeyAnikin1976 сказал:

Всё сделал чётко по инструкции! Но!...

Скрины настроек отправил в личку

AlexeyAnikin1976 Member

AlexeyAnikin1976

Posted
Posted
16 минут назад, stefbarinov сказал:

В МСЭ точно открыли протокол IP для всего с обоих сторон? 192.168.1.9 - это ПК?

Всё точно по инструкции. Со стороны ВГ-сервера неправильно указал маску - теперь есть прыжок на интерфейс!

Теперь только одна проблема: в первой сети роутер и НАС, во второй роутер и сетевой принтер - пингуются; компьютеры - внутри локалок пингуются, через тунель никак.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept