2 кинетика по Wireguard

[vasek00]

  В 18.11.2022 в 07:44, Werld сказал:

Так получается наоборот, это вы продолжаете жить 93 годом, если отрицаете изменения произошедшие с тех пор. 

В общем-то продолжайте оставаться при своем мнении, если вам rfc не указ. Можете и дальше удивляться, когда еще у кого-нибудь увидите такие ip-адреса, как у создателя темы.

Показать  

Я в rfc не заглядываю, мне как пользователю нужно чтоб работало.

Я живу в том что вижу сейчас (показал это выше на нескольких примерах).

 

Для создателя темы могу сказать что есть в наличие два Keenetic соединенные между собой по WG, для доступа клиентов в удаленную сеть. Keenetic1 на проводе DHCP от провайдера второй Keenetic2 на PPPoE.

Не чего навороченного нет все стыкуется с мануалом https://help.keenetic.com/hc/ru/articles/360012075879

  Показать контент

Keenetic 1

/ # ip ro
...
10.16.131.0/24 dev nwg0 scope link  src 10.16.131.1 
...
192.168.1.0/24 dev br0 scope link  src 192.168.1.1 
192.168.130.0/24 dev nwg0 scope link 

/ # ifconfig
...
nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.131.1  P-t-P:10.16.131.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:48 errors:0 dropped:9 overruns:0 frame:0
          TX packets:35 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:4272 (4.1 KiB)  TX bytes:4896 (4.7 KiB)
...
/ # 

  Цитата

Keenetic 2

~ # ip ro
default dev ppp0  scope link
....

10.16.131.0/24 dev nwg2  proto kernel  scope link  src 10.16.131.101
...

IP_SERVER_WG dev ppp0  scope link
...

192.168.1.0/24 dev nwg2  scope link
192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.101

 

~ # ifconfig

....

nwg2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.131.101  P-t-P:10.16.131.101  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:37 errors:0 dropped:0 overruns:0 frame:0
          TX packets:65 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:5080 (4.9 KiB)  TX bytes:5912 (5.7 KiB)

...

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:1хх.ххх.ххх.хх9  P-t-P:1хх.ххх.ххх.хх1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:2976971 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1434479 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3849936617 (3.5 GiB)  TX bytes:272978827 (260.3 MiB)

...

~ #

Показать  

  Показать контент

Клиент в сети роутера Keenetic 2

Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  P-KN [192.168.130.101] 
  2    53 ms    38 ms    37 ms  10.16.131.1 
  3    53 ms    46 ms    53 ms  192.168.1.201 

Трассировка завершена.
                            

Обмен пакетами с 192.168.1.201 по с 32 байтами данных:
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62
Ответ от 192.168.1.201: число байт=32 время=37мс TTL=62

Статистика Ping для 192.168.1.201:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 37мсек, Максимальное = 37 мсек, Среднее = 37 мсек

 

 

 

 

[Алексей717]

  В 18.11.2022 в 05:29, vasek00 сказал:

Клиент SSTP роутера на Android

  Показать контент

На роутере

sstp0     Link encap:Point-to-Point Protocol  
          inet addr:192.168.130.101  P-t-P:172.16.130.29  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1350  Metric:1
          RX packets:153 errors:0 dropped:0 overruns:0 frame:0
          TX packets:133 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3 
          RX bytes:18507 (18.0 KiB)  TX bytes:58947 (57.5 KiB)

 

ppp туннель где роутер 192.168.130.101  и клиент 172.16.130.29  Mask:255.255.255.255

  Показать контент

rmnet_data0 Link encap:UNSPEC  
          inet addr:192.....2  Mask:255.255.255.224 
          inet6 addr: 2a00:..........:6e94/64 Scope: Global
          UP RUNNING  MTU:1500  Metric:1
          RX packets:34991 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:37631 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:39238313 TX bytes:6837364 

rmnet_ipa0 Link encap:UNSPEC  
          UP RUNNING  MTU:9216  Metric:1
          RX packets:24247 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:44194 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:1636250 TX bytes:7598075 

tun0      Link encap:UNSPEC  
          inet addr:172.16.130.29  P-t-P:172.16.130.29  Mask:255.255.255.255 
          inet6 addr: fe80::.......6dc0/64 Scope: Link
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:411 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:479 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:500 
          RX bytes:182417 TX bytes:97406 

dummy0    Link encap:UNSPEC  
          inet6 addr: fe80:........:9f3d/64 Scope: Link
          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:130 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:0 TX bytes:15451 

lo        Link encap:UNSPEC  
          inet addr:127.0.0.1  Mask:255.0.0.0 
          inet6 addr: ::1/128 Scope: Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:6694 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:6694 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:1000 
          RX bytes:413683 TX bytes:413683




/system/bin/ip route show table 0


....
172.16.130.29 dev tun0 table 1040 proto static scope link 
....
172.16.130.29 dev tun0 table 1000000040 proto static scope link 
...
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 
local 172.16.130.29 dev tun0 table local proto kernel scope host src 172.16.130.29 
....

 

На Win у меня нет клиента, но будет так же так как сервер SSTP на роутере.

 

Другой пример WG на роутере (сервер) и на Android

  Показать контент

tun0      Link encap:UNSPEC  
          inet addr:10.16.130.6  P-t-P:10.16.130.6  Mask:255.255.255.255 
          inet6 addr: fe80:........:f2fd/64 Scope: Link
          UP POINTOPOINT RUNNING  MTU:1280  Metric:1
          RX packets:42983 errors:0 dropped:0 overruns:0 frame:0 
          TX packets:5288 errors:0 dropped:0 overruns:0 carrier:0 
          collisions:0 txqueuelen:500 
          RX bytes:54713693 TX bytes:430805 

....
default dev tun0 table 1041 proto static scope link 
10.16.130.0/24 dev tun0 table 1041 proto static scope link 
10.16.130.6 dev tun0 table 1041 proto static scope link 
192.168.130.0/24 dev tun0 table 1041 proto static scope link 
....

где ip клиента 10.16.130.6 и роутера 10.16.130.6, сеть роутера 192.168.130.0/24

 

Показать  

Добрый день у меня вот так происходит иногда windows на котором клиент получает ip 172.16.3.34  а иногда такой же как и на сервере начальный 172.16.3.33  ... по поводу WG у меня не хватает мозгов настроить его он не имеет доступ в интернет не в какую. на счет sstp варшарк показывает ошибку типо весит все это подключения на  групповом Мак адресе скрины прилогаются. 

[vasek00]

  В 18.11.2022 в 10:09, Алексей717 сказал:

Добрый день у меня вот так происходит иногда windows на котором клиент получает ip 172.16.3.34  а иногда такой же как и на сервере начальный 172.16.3.33  ... по поводу WG у меня не хватает мозгов настроить его он не имеет доступ в интернет не в какую.

Показать  

Если исходить из скринов первого поста, то WG у вас поднимается, осталось только allow и маршрутизация. 

WG-S

1.  =  172.16.82.2/24 порт 16632 ; allow-ips = 172.16.82.0/24 | 192.168.10.0/24 | 192.168.100.0/24 ;

2. Маршруты

192.168.100.0/24 -> WG-S интерфейс
192.168.10.0/24 -> Домашний интерфейс

WG-CL1

1.  =  172.16.82.1/24 ; allow-ips = 172.16.82.0/24 | 192.168.10.0/24 | 192.168.100.0/24 ;

2. Маршруты
 

192.168.0.0/16 -> Домашний интерфейс
192.168.10.0/24 -> WG-CL1 интерфейс

 

Примечание в allow-ips вписывают сети - туннеля и удаленную сеть роутера, сеть лок.роутера не пишут. Если нужен еще доступ из уд.сети клиента в интернет то добавить сеть 0.0.0.0/0

Второе

192.168.0.0/16 -> Домашний интерфейс

Вам вопрос - на какой сетевой интерфейс направить пакеты для адресата например 192.168.10.х на "WG-CL1" или на "Домашний интерфейс" согласно порядка вашей таблицы которая выше на скрине или

192.168.0.0/16 -> Домашний интерфейс
192.168.10.0/24 -> WG-CL1 интерфейс

 

Для того чтоб клиент WG выходил еще в интернет то там нужно сделать еще кой чего

1. allow например ниже

allow-ips 10.16.130.6 255.255.255.255 -- туннель WG, данного клиента
allow-ips 192.168.130.0 255.255.255.0 -- сеть данного роутера (сервер WG для клиента)
allow-ips 0.0.0.0 0.0.0.0 -------------- для выхода в интернет

2. сменить политику с public (которая по умолчанию) на private

interface Wireguard3 -------- сам туннель WG
    security-level private

3.

ip nat Wireguard3

4. Записать конфиг.

 

По SSTP чуток не понял суть вопроса ?

Настройка на нем простая.

  Показать контент

По вашему скрину на клиенте два default маршрута 0/0 на разные интерфейсы -> вступает правило МЕТРИКИ (чем меньше метрика то считаем его основным)

Лог Android клиента при подключение, на сервере SSTP (скрин выше)

  Показать контент

2:48:58 PM The interstitial ad failed to load. 
Unable to obtain a JavascriptEngine.
2:48:51 PM VPN Established. default
2:48:51 PM excluded ipv4 route: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 
2:48:51 PM included ipv4 route: 0.0.0.0/0 172.16.130.101/20 
2:48:51 PM ignored multi-cast ipv4 route: 224.0.0.0/3
2:48:51 PM dns ipv4 2: 8.8.4.4
2:48:51 PM dns ipv4 1: 8.8.8.8
2:48:48 PM The interstitial ad failed to load. 
Unable to obtain a JavascriptEngine.
2:48:48 PM The rewarded ad failed to load. 
Unable to obtain a JavascriptEngine.
2:48:42 PM Supported protocols:
  TLSv1 
  TLSv1.1
  TLSv1.2
  TLSv1.3
Enabled protocols:
  TLSv1
  TLSv1.1
  TLSv1.2
  TLSv1.3
Using protocol: TLSv1.3
Using cipher : TLS_CHACHA20_POLY1305_SHA256
Using peer principal : CN=хххххххххххххххххх.keenetic.pro
2:48:42 PM Handshake Completed
2:48:42 PM Client is initialized.
2:48:40 PM Connecting...
2:48:39 PM The service is running in foreground.
2:48:39 PM VPN is prepared.
2:48:39 PM starting..
2:48:37 PM GmsCore_OpenSSL Provider is up-to-date, app can make secure network calls.
2:48:37 PM Config is compatible.
2:48:37 PM Warning: config is obsolete.
2:48:37 PM Checking config...

 

проверяю клиента на speedtest он идет на провайдера роутера в данном случае РТ (IP роутера) а не от мобильного оператора.

Пока смотрел свой скрин не понятка в строке для маршрута по умолчанию а именно в MASK /20

2:48:51 PM included ipv4 route: 0.0.0.0/0 172.16.130.101/20

 

Изменено 18 ноября, 2022 пользователем vasek00

[M V]

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента?

Туннель настроен, маршруты прописаны. Кинетик знает о подсети А, трафик между А и В ходит без проблем через туннель.

Нужно, чтобы А могла ходить в интернет через WG и кинетик. Нат на WG интерфейсе разрешен и клиенты могут ходить в интернет без проблем с адресов сети WG, но вот из сети A кинетик не НАТит траффик. Трейс из А затыкается на кинетике на адресе WG.

Помню на старых Падавановских прошивках НАТ по-умолчанию разрешен был только для Directly Connected сетей, но можно было просто руками добавить правило iptables через gui. Как здесь сделать то же самое?

Изменено 18 ноября, 2022 пользователем M V

[Werld]

  В 18.11.2022 в 19:15, M V сказал:

Подскажите, плиз, как разрешить NAT для траффика, приходящего через wg туннель из локальной сети клиента?

Показать  

Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель.

[M V]

  В 18.11.2022 в 19:25, Werld сказал:

Попробуйте в cli: ip nat <сеть A> , должно помочь. А вообще, лучше чтобы Wg клиент натил свою сеть А при выходе в WG-туннель.

Показать  

Супер! Спасибо за оперативную помощь! "ip nat IP MASK" сработало. Трафик пошел.

[M V]

В продолжение темы..

Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0.

Изменено 21 декабря, 2022 пользователем M V

[r13]

  В 21.12.2022 в 16:25, M V сказал:

В продолжение темы..

Можно ли как-то более гибко настроить правило для НАТа? Сейчас он НАТит не только в Интернет, но и в локалку "B". Ну, т.е. если я пингую из A какой-нибудь хост в B, то эти пакеты имеют source IP = LAN IP кинетика.. Хотелось бы, чтобы он натил на выходе ppp0 а не на входе wg0.

Показать  

Ответ тут

https://forum.keenetic.ru/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=135763

[M V]

  В 21.12.2022 в 16:31, r13 сказал:

Ответ тут

https://forum.keenetic.ru/topic/2617-вопросы-по-интеграции-openvpn-в-ndms/?do=findComment&comment=135763

Показать  

Офигенно! Огромное спасибо! Все работает как надо теперь.
Я еще нигде так быстро не получал ответы, как здесь!

п.с. Команды в ndmc, конечно, вообще не интуитивные. Я думал, что ip static - это про статические маршруты, а не про NAT. Было бы логичней что-то типа ip nat static.. Ну да ладно. Главное, что работает!

[Андрэ Палыч]

а что это за ошибка такая при попытке пингануть один роутер с другого?

An I/O error occurred: required key not available.

Соединение поднялось, с обеих сторон горит зеленым. Маршруты прописаны, в фаерволе IP открыт (в общем все по инструкции да и не в первый раз да и пересоздавал).

[Алексей717]

  В 13.11.2022 в 10:09, ANDYBOND сказал:

Скажите, это сделано?

И что есть ресурсы?

Показать  

 

  В 17.11.2022 в 10:16, vasek00 сказал:

Адрес сервера DNS именно host - хх.хх.хх.хх/32

Туннели

провайдер провод DHCP 
eth2.9    Link encap:Ethernet  HWaddr 50:хх:хх:хх:хх:хх 
          inet addr:10.10.10.10  Bcast:10.10.10.255  Mask:255.255.255.0
          inet6 addr: fe80::52ff:20ff:fe6f:c0d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24307 errors:0 dropped:1 overruns:0 frame:0
          TX packets:1702 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1721612 (1.6 MiB)  TX bytes:97728 (95.4 KiB)


ezcfg0    Link encap:Ethernet  HWaddr CE:хх:хх:хх:хх:хх  
          inet addr:78.47.125.180  Bcast:78.255.255.255  Mask:255.255.255.255
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

WG где адрес сервера так же хх.хх.хх.хх/32 
nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.132.101  P-t-P:10.10.132.101  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:817480 errors:0 dropped:3 overruns:0 frame:0
          TX packets:341525 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:1030422691 (982.6 MiB)  TX bytes:45515332 (43.4 MiB)

WG где адрес сервера так же хх.хх.хх.хх/32 
nwg4      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.2.0.2  P-t-P:10.2.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:380 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1523 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:34960 (34.1 KiB)  TX bytes:93396 (91.2 KiB)

провайдер PPPoE
ppp0      Link encap:Point-to-Point Protocol  
          inet addr:1хх.ххх.ххх.хх9  P-t-P:1хх.ххх.ххх.хх1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:886378 errors:0 dropped:0 overruns:0 frame:0
          TX packets:411245 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1076769499 (1.0 GiB)  TX bytes:82536484 (78.7 MiB)

 

Показать  

можно ли как то решить этот вопрос чтобы клиенты подключеные к sstp были в сети роутера ?