Jump to content

Recommended Posts

Posted (edited)

Здравствуйте. Мигрировал с Mikrotik ax2 на Keenetic Giga (KN-1012) совсем недавно. Пытаюсь настроить Wireguard сервер, доступ к локальным ресурсам есть с моего рабочего компа и телефона я получаю нормально. Но в обратную сторону трафик не идет, даже не пингуется толком. В том числе раздача интернета и доступ к статистическим маршрутам рабочего VPN отсутствует. Без VPN, подключившись к роутеру через Wi-Fi или по кабелю, интернет и ресурсы за рабочим VPN работают 100%.

Пытаюсь пинговать рабочий комп, подключенный через Wireguard сервер на роутере, пинги не проходят. Windows Firewall отключен

Spoiler

Z3brRbA.png

Пингую с рабочего компа свой домашний комп, с которого и пинговал рабочий комп

Spoiler

a7zSfxq.png

Пингую с самого роутера, тоже все нормально

Spoiler

oP9SlLl.png

Делал по этим инструкциям

https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

https://help.keenetic.com/hc/ru/articles/360010408000-Подключение-по-протоколу-WireGuard-VPN-из-Windows-10

серверное wg-server подключение настроено как 192.168.99.1, имеет 2 пира (телефон 99.10 и рабочий пк 99.11) 

Для серверного "wg-server" подключения прописано правило в Firewall роутера для протокола IP разрешены все Source и Destination IP

В маршрутах прописан статистический 192.168.99.0/24 маршрут через интерфейс wg-server

т.е. запросы от wireguard клиентов идут, а в ответ им ничего не приходит. Можете подсказать, куда копнуть, чтобы это исправить?

WireGuard подключение в Windows настроено так

[Interface]
PrivateKey = ключ
Address = 192.168.99.11/24
DNS = 192.168.99.1

[Peer]
PublicKey = ключ
AllowedIPs = 192.168.99.1/32, 192.168.1.0/24, 0.0.0.0/0
Endpoint = белый-айпи-wg:порт-wg
PersistentKeepalive = 25

На телефоне Android 13 тоже ничего не работает.

в конфиге роутера прописаны опции

Spoiler

interface Wireguard0 security-level private

ip nat Wireguard0

 

Edited by Tolyak262
Posted
31 minutes ago, stefbarinov said:

В МСЭ добавлено разрешающее правило на интерфейс WG для протокола ip?

для интерфейса wg сервера создано такое правило

Spoiler

2bFjiSd.png

 

Posted (edited)

Пользуясь командой show ip nat tcp смотрю как работает NAT на wg интерфейсе роутера

================================================================================
Type | In  | Source           Port     Destination      Port     Packets
     | Out |
================================================================================
TCP          192.168.99.100   58555    199.232.214.172  80       5
             199.232.214.172  80       192.168.99.100   58555    0
--------------------------------------------------------------------------------

99.100 - тестовая виртуалка, где поднята винда с тестовым клиентским wg подключением

и чтобы я получил доступ к интернету, а конкретно к адресу 199.232.214.172, вместо Destination Out 192.168.99.100 должно стоять "мой белый айпи" как на 1.15 машине из локалки роутера где интернет ресурсы работают прекрасно

================================================================================
Type | In  | Source           Port     Destination      Port     Packets
     | Out |
================================================================================
TCP          192.168.1.15     43225    92.248.252.178   55500    4
             92.248.252.178   55500    мой-белый-айпи   43225    3
--------------------------------------------------------------------------------

ОК, я прописал в Firewall роутера для домашней сети правило где указал протокол IP и подсеть назначения 99.0/24 и тогда все что находится за подсетью 99 wg сервера пингуется и я полностью связал свой рабочий пк со своей домашней сетью без каких-либо проблем теперь.
Но вот, что делать с интернетом, как его заставить работать? То, что советуют включить NAT для WG интерфейса и security-level поменять с public на private, это никак не помогает в этом плане. 

Edited by Tolyak262
Posted (edited)

no isolate-private

и ручное добавление NAT

ip nat 192.168.99.100 255.255.255.255

помогли. Интернет заработал на wg клиенте 99.100.

Но с точки зрения безопасности правильно ли отключать изоляцию private интерфейсов, мне пока не понятно и какой смысл включать ip nat Wireguard0 целиком для интерфейса когда как показала практика, все равно требуется прописывать вручную запись NAT, мне тоже пока что не совсем понятно. 

Edited by Tolyak262
  • 1 month later...
Posted (edited)

Аналогичная ситуация, вчера потратил много времени в попытках добиться работы интернета на подключенных устройствах к серверу wg на Keenetic по инструкциям на сайте. Не мешало бы производителю их подправить, раз такое дело в итоге.

Когда поднимал EoIP туннели на Кинетиках, тоже трафик не ходил, пока no isolate-private для интерфейсов не сделал.

 

 

Edited by flashtr0n
Posted (edited)

Похоже тема мне подходит, если ошибся-прошу прощения.

Обратился коллега, настроил ему Wireguard туннель между Keenetic Lite и Keenetic Peak (оба в одном городе внутри РФ).

Подсети в локальных сетях разные, клиенты из обоих подсетей друг друга видят.

Включил NAT на интерфейсе Wireguard на Peak (ip nat Wireguard0).

Создал на Lite отдельную политику с доступом в Интернет через Wireguard, переношу туда устройство и трассировка доходит до ip адреса wireguard интерфейса на Peak, а дальше не идет. Подал на Peak команду no isolate-private и не помогло, выхода в Интернет так и нет.

 

P.S. сделал no ip nat на Wireguard интерфейсе Peak, на нем же подал команду ip nat 192.168.2.10 255.255.255.255 для устройства за Keenetic Lite и доступ в интернет появился.

Edited by Dalex

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.