помогите с настройкой WireGuard VPN между двумя роутерами Keenetic

[Sirtaki Grek]

выполнив все шаги из этой инструкции https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic при ping ip 192.168.22.1 не удается достучатся, диагностика пишет:

`sending ICMP ECHO request to 192.168.22.1...

PING 192.168.22.1 (192.168.22.1) 56 (84) bytes of data.

 

--- 192.168.22.1 ping statistics ---

5 packets transmitted, 0 packets received, 100% packet loss,

0 duplicate(s), time 5002.88 ms.`

подскажите куда смотреть и что проверить?

к слову, проверка первого адреса из инструкции 172.16.82.1 проходит успешно!

[Werld]

14 часа назад, Sirtaki Grek сказал:

подскажите куда смотреть и что проверить?

Проверить корректность allowed ips на обеих сторонах и правила межсетевого экрана

[Sirtaki Grek]

29 минут назад, werldmgn сказал:

Проверить корректность allowed ips на обеих сторонах и правила межсетевого экрана

подскажите на что обратить внимание в межсетевом экране? сейчас на двух роутерах правила межсетевого экрана настроены и включены только те что были в статье по настройки
и не очень понятно про корректность allowed ips  где это проверить? все что есть в инструкции проверил несколько раз что все ip точно так же описаны как там)

[Sirtaki Grek]

1 час назад, werldmgn сказал:

Проверить корректность allowed ips на обеих сторонах и правила межсетевого экрана

вроде понял что такое allowed ips все как в инструкции) для клиента 172.16.82.1/32 и 192.168.22.0/24, для сервера 172.16.82.2/32 и 192.168.100.0/24

[vasek00]

15 часов назад, Sirtaki Grek сказал:

выполнив все шаги из этой инструкции https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic при ping ip 192.168.22.1 не удается достучатся

подскажите куда смотреть и что проверить?

Видимо еще раз инструкцию. Если по конф файлу смотреть то

Скрытый текст

Сервер

! 
access-list _WEBADMIN_Wireguard0 **** сами правила
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 *** для ip
    permit description E-PKN

!
interface Wireguard0
    description E
    security-level public
    ip address 10.16.131.1 255.255.255.0
    ip mtu 1420 ***
    ip access-group _WEBADMIN_Wireguard0 in **** правила см.выше
    ip tcp adjust-mss pmtu
    wireguard listen-port 65ххх
    wireguard peer zGZ....................................Q00= !Pkn-E
        allow-ips 10.16.131.101 255.255.255.255 *** разреш.сам туннель
        allow-ips 192.168.130.0 255.255.255.0 **** разреш.уд.сеть

ip route 192.168.130.0 255.255.255.0 Wireguard0 !PKN **** стат.маршрут до уд.сети

 

Клиент

!
interface Wireguard2
    description E
    security-level public
    ip address 10.16.131.101 255.255.255.0 ***** IP адрес туннеля
    ip mtu 1420 ***
    ip access-group _WEBADMIN_Wireguard2 in *** правила
    ip tcp adjust-mss pmtu
    wireguard listen-port 65ххх
    wireguard peer fxrW0............Bo= !E-PKN
        endpoint 1xx.1xx.2xx.xxx:65ххх *********** адрес сервера
        keepalive-interval 30
        allow-ips 10.16.131.1 255.255.255.255 ***** разреш.сам туннель
        allow-ips 192.168.1.0 255.255.255.0 ****** разреш.уд.сеть
    !
    up
 

access-list _WEBADMIN_Wireguard2 **** сами правила
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 **** для ip правила разрешить
    permit description WG-e
    auto-delete
! 

ip route 192.168.1.0 255.255.255.0 Wireguard2 !E-Lan **** стат.маршрут

Если по ping то

с клиента 192.168.130.10

Обмен пакетами с 192.168.1.32 по с 32 байтами данных:
Ответ от 192.168.1.32: число байт=32 время=36мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=38мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=38мс TTL=62

Статистика Ping для 192.168.1.32:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 36мсек, Максимальное = 38 мсек, Среднее = 37 мсек

 

Изменено 5 октября, 2022 пользователем vasek00

[Sirtaki Grek]

2 часа назад, vasek00 сказал:

Видимо еще раз инструкцию. Если по коня файлу то

  Скрыть содержимое

Сервер

! 
access-list _WEBADMIN_Wireguard0 **** сами правила
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 *** для ip
    permit description E-PKN

!
interface Wireguard0
    description E
    security-level public
    ip address 10.16.131.1 255.255.255.0
    ip mtu 1420 ***
    ip access-group _WEBADMIN_Wireguard0 in **** правила см.выше
    ip tcp adjust-mss pmtu
    wireguard listen-port 65ххх
    wireguard peer zGZ....................................Q00= !Pkn-E
        allow-ips 10.16.131.101 255.255.255.255 *** разреш.сам туннель
        allow-ips 192.168.130.0 255.255.255.0 **** разреш.уд.сеть

ip route 192.168.130.0 255.255.255.0 Wireguard0 !PKN **** стат.маршрут до уд.сети

 

Клиент

!
interface Wireguard2
    description E
    security-level public
    ip address 10.16.131.101 255.255.255.0 ***** IP адрес туннеля
    ip mtu 1420 ***
    ip access-group _WEBADMIN_Wireguard2 in *** правила
    ip tcp adjust-mss pmtu
    wireguard listen-port 65101
    wireguard peer fxrW0............Bo= !E-PKN
        endpoint 1xx.1xx.2xx.xxx:65ххх *********** адрес сервера
        keepalive-interval 30
        allow-ips 10.16.131.1 255.255.255.255 ***** разреш.сам туннель
        allow-ips 192.168.1.0 255.255.255.0 ****** разреш.уд.сеть
    !
    up
 

access-list _WEBADMIN_Wireguard2 **** сами правила
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 **** для ip правила разрешить
    permit description WG-e
    auto-delete
! 

ip route 192.168.1.0 255.255.255.0 Wireguard2 !E-Lan **** стат.маршрут

Если по ping то

с клиента 192.168.130.10

Обмен пакетами с 192.168.1.32 по с 32 байтами данных:
Ответ от 192.168.1.32: число байт=32 время=36мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=38мс TTL=62
Ответ от 192.168.1.32: число байт=32 время=38мс TTL=62

Статистика Ping для 192.168.1.32:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 36мсек, Максимальное = 38 мсек, Среднее = 37 мсек

 

сверил со своими из self-test все идентично  с разницей лишь того что ip у меня те что в статье
 

Скрытый текст

сервер: 
access-list _WEBADMIN_Wireguard5
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description "\xd0\xb2\xd0\xbf\xd0\xbd \xd1\x82\xd1\x83\xd0\xbd\xd0\xb5\xd0\xbb\xd1\x8c \xd0\xb4\xd0\xbb\xd1\x8f \xd0\xbf\xd1\x80\xd0\xbe\xd0\xba\xd1\x81\xd0\xb8 \xd1\x80\xd1\x83"

interface Wireguard5
    description WG-S
    security-level public
    ip address 172.16.82.1 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard5 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 16632
    wireguard peer 2****w= !WG-CL1
        allow-ips 172.16.82.2 255.255.255.255
        allow-ips 192.168.100.0 255.255.255.0
    !
    up

ip route 192.168.100.0 255.255.255.0 Wireguard5 auto !впн тунель для прокси ру

клиент:
access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description "\xd0\xb2\xd0\xbf\xd0\xbd \xd1\x82\xd1\x83\xd0\xbd\xd0\xb5\xd0\xbb\xd1\x8c \xd0\xb4\xd0\xbb\xd1\x8f \xd0\xbf\xd1\x80\xd0\xbe\xd0\xba\xd1\x81\xd0\xb8 \xd1\x80\xd1\x83"

interface Wireguard0
    description WG-CL1
    security-level public
    ip address 172.16.82.2 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard peer q****U= !WG-S
        endpoint ****.keenetic.pro:16632
        keepalive-interval 15
        allow-ips 172.16.82.1 255.255.255.255
        allow-ips 192.168.22.0 255.255.255.0
    !
    up

ip route 192.168.22.0 255.255.255.0 Wireguard0 auto

 

Изменено 5 октября, 2022 пользователем Sirtaki Grek

[vasek00]

18 часов назад, Sirtaki Grek сказал:

сверил со своими из self-test все идентично

Маршруты покажите с обоих.

[Sirtaki Grek]

192.168.100.0 это сервер и 192.168.22.0 это клиент

[Werld]

Вообще никакие устройства в сети 192.168.22.0/24 не пингуются? Трассировку еще покажите. 

[Sirtaki Grek]

4 минуты назад, werldmgn сказал:

Вообще никакие устройства в сети 192.168.22.0/24 не пингуются? Трассировку еще покажите. 

с клиента пингую/трасероут запрашиваю и на все ip с 192.168.22.0 и до 192.168.22.24 не доходят

[Werld]

А сети на роутерах вы верные прописали? Покажите настройки домашних сегментов на обоих роутерах

[Sirtaki Grek]

1 минуту назад, werldmgn сказал:

А сети на роутерах вы верные прописали? Покажите настройки домашних сегментов на обоих роутерах

простите, а сети это где посмотреть?

[Sirtaki Grek]

вот это?

2 минуты назад, werldmgn сказал:

А сети на роутерах вы верные прописали? Покажите настройки домашних сегментов на обоих роутерах

 

[Werld]

Мои сети и wifi --> домашняя сеть.   На ваших устройствах должны быть разные сети. Если вы это не меняли, то не удивительно, что ничего не работает

[Sirtaki Grek]

Только что, werldmgn сказал:

Мои сети и wifi --> домашняя сеть.   На ваших устройствах должны быть разные сети. Если вы это не меняли, то не удивительно, что ничего не работает

да тут ничего не менял, в инструкции об этом не было упомянуто  а что надо там настроить подскажите пожалуйста 

[Werld]

В разделе Параметры IP на сервере у вас должно быть указано 192.168.22.1/24 и dhcp сервер должен выдавать адреса из этого диапазона. На клиенте соответственно 192.168.100.1/24. Обратите внимание доступ к роутерам из их сетей тоже изменится, они будут отвеать по указанным адресам

[Werld]

4 минуты назад, Sirtaki Grek сказал:

в инструкции об этом не было упомянуто

В инструкции приведен пример для двух роутеров с некими сетями. Предполагается, что вы адаптируете этот пример под свой случай. У вас могут быть сети не обязательно как в инструкции. Главное чтобы они были разные на роутерах и настройки все нужно делать соответственно им.

[Sirtaki Grek]

3 минуты назад, werldmgn сказал:

В разделе Параметры IP на сервере у вас должно быть указано 192.168.22.1/24 и dhcp сервер должен выдавать адреса из этого диапазона. На клиенте соответственно 192.168.100.1/24. Обратите внимание доступ к роутерам из их сетей тоже изменится, они будут отвеать по указанным адресам

вот так? и по аналогии для клиента только 100? или нужно еще dns указывать ? :)

[Werld]

3 минуты назад, Sirtaki Grek сказал:

вот так? и по аналогии для клиента только 100? или нужно еще dns указывать ? :)

Да вот так. ДНС указывать не обязательно, если не указан он автоматически раздает себя в качестве днс-сервера

[Sirtaki Grek]

4 минуты назад, werldmgn сказал:

Да вот так. ДНС указывать не обязательно, если не указан он автоматически раздает себя в качестве днс-сервера

Спасибо вам большое, все заработало ! 🔥