с через резервное подключение

[urbanboy]

Вводные:

Два роутера , один клиентом , другой сервером , поднят WireGuard , все работает , с обоих сторон ходим в локальные сети друг друга , в интернет ходим по своим подключениям ( если это важно )

Задача , со стороны сервера подключить резервный канал и пустить WireGuard через него 

Вопрос - как это сделать , т.к. по двум разным каналам поддержки мне выдают две диаметрально противоположные версии. 

По телефону мне говорят : Настраивать считай ни чего не надо , по крайней мере на стороне сервера , просто поднимите второе соединение и все. На стороне клиента в настройках WireGuard просто поменяйте адрес пира на ту статику , что у вас на резервном подключении. Звучит офигенно просто , я даже задумался о том чтобы добавить второго пира просто , а не редактировать первого и как-то приоритет организовать если вдруг канал резервный ляжет. Но это как бы уже так - из области фантастики.

Ответ из телеги : нет, так сделать нельзя , надо чтобы подключение было основным , через резервное пустить туннель не получится , ну это я так скомкано и утрировано , там мне человек какими-то простынями отвечает и судя по ответам , толи я плохо объясняю , толи плохо понимаю что он отвечает.

 

По факту я конечно готов сделать его основным , а основной сделать резервным , а дальше всех пользователей интернета через приоритеты перетащить на пользование интернетом через резервный канал , но мне казалось , что это все можно сделать на много проще , или мне так кажется 

Коллеги - дайте ответ

[vasek00]

1 час назад, urbanboy сказал:

Задача , со стороны сервера подключить резервный канал и пустить WireGuard через него 

На стороне клиента вы указываете endpoint сервера - IP адрес, т.к. как WG это точка точка т.е. нужен стат.маршрут до сервера WG через нужный интерфейс.

Пример, рабочий только в обратную сторону, т.е. на клиенте два канала Инет. Keenetic1 сервер WG, Keenetic2 клиент WG. На Keenetic2 основной канал на Инет1, и Инет2 резервный. Суть всего по данному каналу Инет2 объединение двух локальных сетей роутеров

Keenetic1----Инет------[Инет1]Keenetic2[Инет2]

На Keenetic2 поднимаем клиента WG на белый IP ххх.ххх.ххх.226 сервера Keenetic1 (его удаленная сеть 192.168.1.0/24) - проверили что работает. Далее - добавляем стат маршрут до данного IP сервера через Инет2 (Vlan3).

Keenetic2 

interface FastEthernet0/Vlan3 ***** Инет2 резервный
    description V-loc
    security-level public
    ip address dhcp
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip global 24575
    up
...

interface Wireguard1
...
        wireguard peer IoGU....azo= !Viva
        endpoint ххх.ххх.ххх.226:65503 !Viva
        ...

ip route ххх.ххх.ххх.226 FastEthernet0/Vlan3 auto
ip route 192.168.1.0 255.255.255.0 Wireguard1 auto

В ПО draft 4.1 есть возможность для Wireguard на каком интерфейсе его поднимать. Пока не совсем оно работает, т.е. на нормальных WAN каналах все ок, если же второй WAN поднят на каком то VLAN то пока не работает (хотя в конфиг команда прописывается например connect via GigabitEthernet0/Vlan9 но результата нет, в отличие например от "connect via ISP" или от "connect via PPPoE0" где ОК), приходится пока мудрить через ручную стат.маршрутизацию.

Изменено 1 апреля пользователем vasek00

[urbanboy]

55 минут назад, vasek00 сказал:

На стороне клиента вы указываете endpoint сервера - IP адрес, т.к. как WG это точка точка т.е. нужен стат.маршрут до сервера WG через нужный интерфейс.

это мне понятно , по телефону мне так и сказали , что этого вполне достаточно , но ...

56 минут назад, vasek00 сказал:

В ПО draft 4.1 есть возможность для Wireguard на каком интерфейсе его поднимать. Пока не совсем оно работает, т.е. на нормальных WAN каналах все ок, если же второй WAN поднят на каком то VLAN то пока не работает (хотя в конфиг команда прописывается например connect via GigabitEthernet0/Vlan9 но результата нет, в отличие например от "connect via ISP" или от "connect via PPPoE0" где ОК), приходится пока мудрить через ручную стат.маршрутизацию.

в телеге мне написали , что на сервере через connect via надо указывать на конкретное соединение , в противном случае пойти может через основное , я правда не вполне понимаю , как оно пойти может через основное , если я на клиенте указывают статику сервера , как оно может завернуть то не туда

[vasek00]

10 минут назад, urbanboy сказал:

это мне понятно , по телефону мне так и сказали , что этого вполне достаточно , но ...

в телеге мне написали , что на сервере через connect via надо указывать на конкретное соединение , в противном случае пойти может через основное , я правда не вполне понимаю , как оно пойти может через основное , если я на клиенте указывают статику сервера , как оно может завернуть то не туда

У вас есть два варианта:

1 . сколько угодно можете рассуждать что и как

2. просто попробовать

 

[urbanboy]

Только что, vasek00 сказал:

У вас есть два варианта:

1 . сколько угодно можете рассуждать что и как

2. просто попробовать

это да , просто у меня за обоими устройствами по табуну людей сидит , и мне экспериментировать во время рабочего дня вообще без вариантов , так что жду вечера , либо точного ответа так сказать 

[urbanboy]

Ну короче что имеем , простой сменой адреса пира вопрос не решился , пинг наблюдаю тот же - трафик горит через основной канал

Попытался ввести через консоль то что мне прислали с поддержке , после команды connect via

Цитата

(config-wg-peer)> connect via PPPoE1
Wireguard::Interface error[75505872]: "Wireguard0": "*********************************": unable to set connect interface without endpoint.

выдало ошибку

как-то так - хуже не стало - лучше правда тоже нет

[urbanboy]

Короче я ни чего не понимаю , сотрудники все разошлись , я дернул кабель основного канала физически из порта чтобы перейти на резервный , пинги тут же упали , стало визуально видно , что трафик пошел именно так как надо , при возвращении кабеля они снова поднялись - все пошло снова через основной канал

Как завернуть туннель через резервный канал пока не ясно , в настройках клиента "адрес и порт пира" вписана статика резервного канала , но толку от этого ноль

[Le ecureuil]

А вы резервный канал сделали security-level private с другой стороны (на сервере)? А включили на нем NAT?

Проще вам еще один WG между точками поднять, но только для интернета - и его уже сделать private, и на нем сделать NAT.

[urbanboy]

10 часов назад, Le ecureuil сказал:

А вы резервный канал сделали security-level private с другой стороны (на сервере)? А включили на нем NAT?

я честно говоря ни каких особых настроек не делал , нажал (+) добавить провайдера , выбрал порт , метод авторизации и ввел логин с паролем 

 

10 часов назад, Le ecureuil сказал:

Проще вам еще один WG между точками поднять, но только для интернета - и его уже сделать private, и на нем сделать NAT.

мне интернет не нужен , WG соединяет две локальные сети , базу 1С-ную гоняем

[urbanboy]

Вообще хочу сказать так по итогу изысканий вчерашнего вечера , если на сервере выдернуть физически кабель основного соединения и резервное начинает работать как основное , то с туннелем становится все ок , траффик идет как надо , но это и логично , ему больше идти не через чего.

Как только возвращаешь кабель основного соединения , все возвращается в зад. Как так получается , если на клиенте жестко прописана статика от резервного в адресе пира , я не понимаю.

Жду помощи от поддержки на счет использования connect via , либо если ни чего не взлетит , тупо махну кабели местами и переведу политикой приоритетов всех пользователей в сети за сервером на использование интернета через резервный канал ( который раньше был основным ) , да - это штаны через голову , но если не выходит нормально завернуть трафик куда надо - что делать

[urbanboy]

Короче замкнутый крут - поддержка в итоге ответила что connect via на серверной части не работает , я так понимаю - это опция только для клиента.

Предложили мне указывать на клиенте в эндпоинт адрес резервного канала , но как бы - это первое что я сделал и оно не работает пока основное подключение активно.

Для меня если честно вообще загадка , как трафик идет через другое соединение , когда в эндпоинт указан совершенно другой адрес