wireguard Wireguard и несколько peer(клиетов) одновременно.

[beepop]

Доброго времени суток господа. Решил поднять Wireguard сервер для доступа к домашним ресурсам и интернету домашнего роутера с различных  точек. Настроил одного клиента на смартфоне. Всё работало замечательно. Когда добавил второй пир, первый пир перестал функционировать. Не пингуется даже сам интерфейс wireguard хотя тунель поднимается. В этот же момент последний добавленный пир прекрасно работает. Я грешным делом подумал что у кинетика на каждый тунель ограничение по 1 пиру на интерфейс но в мануале сказано что есть возможность подключения нескольких клиентов одновременно.

Цитата

2. Затем нужно добавить пир(ы). Пиром (Peer) называют участника или клиента данного соединения. В одном VPN-подключении можно создать несколько пиров, например, для подключения к VPN-серверу с разных компьютеров или мобильных устройств.

В чём может быть проблема? Почему перестаёт работать ранее работоспособный пир каждый раз после добавления нового?
Заранее спасибо за помощь.

Изменено 12 сентября, 2022 пользователем beepop

[beepop]

Разобрался.
Если кому интересно, на роутере в настройка пиров Wireguard я по наивности указал в секции разрешенных подсетей 0.0.0.0/0 (для доступа в локалку и использования интернет соединения домашнего роутера) предполагая что это просто фильтр. В случае с Wireguard там нужно указать точный адрес пира(адрес интерфейса тунеля) с маской /32 и тогда работает 2 и более пиров одновременно. Видимо он функционирует ни как фильтр а как маркер для маршрутов. Всем спасибо. Можем расходиться.

 

 

[beepop]

И да, на клиенте в поле разрешенных подсетей, для того что бы работал интернет с удалённого ресурса, нужно указать 0.0.0.0/0. А желательно даже 0.0.0.0/1, 128.0.0.0/1 для нормального функционирования пресловутого фильтра/маркера. C 0.0.0.0/0 на некоторых устройствах наблюдается проблема с прохождением пакетов.

[vasek00]

В моем случае схема чуток по другому по мимо выхода в интернет. Два клиента через моб.оператора и роутер между собой

Скрытый текст

Помимо интернета на T505 например iperf3 -s а на A70 например iperf3 -c 10.16.130.18 -t 3600 -P 20 -R

Далее любой клиент может через total commander + LAN (Общий доступ Windows) попасть либо на диск роутера или на клиента в лок.сети ПК (Winodws) на его папку/диск.

Изменено 12 сентября, 2022 пользователем vasek00

[beepop]

Единственное что у меня так и не получилось так это доступ из локальной сети роутера на уделённый комп подключённый к нему через тунель. На удалённом компе локалка роутера доступна. В том числе и машины в этой локалке. Но сам удалённый комп недоступен. И вроде понятно почему, он натится на WG интерфейсе и нужно сделать проброс портов но победить это в кинетике у меня не получается. На Никсе с Варигардом никаких проблем, на кинетике видимо шаман понадобится )))

[vasek00]

8 часов назад, beepop сказал:

Единственное что у меня так и не получилось так это доступ из локальной сети роутера на уделённый комп подключённый к нему через тунель. На удалённом компе локалка роутера доступна. В том числе и машины в этой локалке. Но сам удалённый комп недоступен. И вроде понятно почему, он натится на WG интерфейсе и нужно сделать проброс портов но победить это в кинетике у меня не получается. На Никсе с Варигардом никаких проблем, на кинетике видимо шаман понадобится )))

К тому посту который выше имеем wireguard в системе он Wireguard3

interface Wireguard3
    description PKN-WG
    security-level private
...
    wireguard peer EUvA....Xs= !A70
...
    !
    wireguard peer y0.....CA= !T505

Нужно добавить строчку

ip nat Wireguard3

можно в конфиг, а можно через cli но потом записать :

1. - security-level private

по умолчанию он public

2. - ip nat Wireguard3

[Oleg Nekrylov]

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.

[vasek00]

18 минут назад, Oleg Nekrylov сказал:

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.

А если allow-ips прописать 192.168.10.0/24

[beepop]

49 минут назад, Oleg Nekrylov сказал:

Прошивка 3.9b0

Не работает

interface Wireguard18
    description OFFICE
    security-level private
    ip address 10.10.0.254 255.255.255.0
     wireguard peer jmi... !01. Клиент 01
        allow-ips 10.10.0.1 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer Wr2... !02. Клиент 02
        allow-ips 10.10.0.2 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    wireguard peer rFE... !03. Клиент 03
        allow-ips 10.10.0.3 255.255.255.255
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!
ip route 192.168.10.0 255.255.255.0 10.10.0.3 Wireguard18
ip nat Wireguard18

Клиенты ко мне ходят, а я не могу. Например в клиентскую сетку 192.168.10.0/24 клиента 3, хотя 10.10.0.3 пингуется.

Вам скорее всего поможет вот это:

interface Wireguard18 security-level public

system configuration save

У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован.

[Oleg Nekrylov]

21 час назад, vasek00 сказал:

А если allow-ips прописать 192.168.10.0/24

Не помогает

21 час назад, beepop сказал:

У вас наверное стоит security level private (скорее всего по гайду настраивали) в таком режиме доступ у подключенным клиентам заблокирован.

Не, не по гайду, изначально он был public, я его специально в private переключил, чтобы multicast работал для Siemens SIMATIC NET, тк:

access-list _WEBADMIN_Wireguard18
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    auto-delete
!
interface Wireguard18
    ip access-group _WEBADMIN_Wireguard18 in

эту проблему не решает.

 

PS: Проблема появляется только когда в туннеле имеется 2+ пира, с 1 пиром проблем нет. В принципе жить не мешает, да и с точки безопасности это к лучшему (тк при падении сервера отлетят все пиры [и трафик между ними]) - но не красиво, хотелось бы сгруппировать заводы/полёвку по группам.

Изменено 21 сентября, 2022 пользователем Oleg Nekrylov