Маршрутизация Keenetic vs Mikrotik по WireGuard

[DmB]

Добрый всем день,

Сломал себе уже всю голову и не могу разобраться, буду оч благодарен, кто подкинет идея конструктивно и по делу.

Задача:

Создать туннели WireGuard между 4 квартирами.

Проблема:

Одна квартира (К) при подключенном туннеле не хочет корректно делать маршрутизацию по внутренним IP c другой квартирой (М).

При это та же квартира К с другими двумя квартирами А и В работает корректно и работает маршрутиза2ция

То есть, когда пингуешь ip адреса внутренней сети M с квартиры К, то пингуется только шлюз 10.1.0.1, а остальные нет, хотя маршрутизация прописана.

При чем аналогично настроены еще 2 квартиры (А и В), настройки один в один, конечно только меняются внутренний локальные адреса, но в остальном все одинаково.

Вводные данные:

1/ LAN K (Keenetik  Peak (KN-2710) EAEU, Версия ПО 4.3.6)

Внутренняя сеть - 10.2.0.0/24

2/ LAN M (Mikrotik Hex S RB760iGS Весия ПО 7.19.6)

Внутренняя сеть - 10.1.0.0/24

3/ LAN A (Mikrotik Hex S RB760iGS Весия ПО 7.19.6)

Внутренняя сеть - 10.0.0.0/24

4/ LAN B (Mikritik hAP ax 2 C52iG-5HaxD2HaxD , Весия ПО 7.19.6)

Внутренняя сеть - 10.3.0.0/24

Сети A, B и М имеют внешний стат IP, Сеть К с динамическим серым IP.

Напомню, что туннели с сетью К все работают нормально и стабильно даже без стат IP у сети K.

То есть это не может являться проблемой, так как маршрутизация между А и К, между В и К работает корректно, проблема только в цепочке К и М.

 

Настройка WireGurаrd

Микротик и Кинетик совершенно просто и быстро создают туннель, в том числе между проблемным К и М.

Я пробовал менять порт прослушивания, менял Разрешенные адреса, сейчас стоят 0.0.0.0/24, с таким условием работают 2 оставшихся тоннеля.

По аналогии с уже работающим тоннелем, где норм работает маршрутизация настройка кратко выглядит так:

1/ создаем сервер, порт 21500

 

2/ на микротике также создаем сервер и пир, однако порт в пире сам меняется на рандом, я не понял почему, но так все работает в туннеле между К и А и между К и В, там такая же история

3/ Также создаем Пир на Кинетике

4/ Я пробовал делать кинетиком с ай пи 1, а микротик с ай пи 2 на конец, но это не дает результата, тем более в успешных тоннелях микротики всегда с ай пи 1 на конце

5/ Вот на микротике присваиваем тунелю ай пи с  единицей на конце

 

6/ Прописываем маршрут, чтобы с сети М (Микротик) было видны ай пи сети К

7/ Аналогично делаем и в кинетике (сеть К)

8/ Никаких правил файрволла нет, все работает и без них

 

ИТОГО:

Коннект WireGuard есть и он стабильный, пингуется только 10.1.0.1, остальные ай пи адреса сети М с сети К не пингуются,

Пинг с сети М на сеть К вообще не проходит даже на 10.2.0.1 (на шлюз), не понимаю почему, хотя в микротике Маршрут прописан и привязан к туннелю.

есть идеи, где косяк можем быть?

Обращаю внимание, что этот же роутер кинетик работает с сетью А, где один в один такой же микротик и те же настройки, и все норм с маршрутами и там все пингуется. Магия какая то....

Изменено Понедельник в 19:04 пользователем DmB

[DmB]

Сети А, В и М между собой также работают по WireGuard и там нет проблем с маршрутами

[bzzztomas77]

описание проблемы тяжело читается, со схемой было бы проще.

если есть entware - ставить дополнительные тулзы типа tcpdump, traceroute, ip-full и смотреть ими таблицы маршрутизации, как трафик проходит.

у меня тоже несколько кинетиков и куча соединений wg между ними, продублированных через openvpn. некоторые сети связаны не напрямую (из-за отстутствия белых ip), но все работает нормально.

 

[stefbarinov]

14 часов назад, DmB сказал:

Также создаем Пир на Кинетике

В настройках Пира на WG-сервере Вам нужно указать ip адрес тоннеля на стороне клиента (в моем случае клиент получает адрес 172.31.240.2/32) и ip адрес сети за WG-клиентом (в моем случае 10.172.5.0/24).

Спойлер

И затем соответственно прописываем маршрут в сеть WG-клиента

 

Спойлер

 

Изменено Вторник в 09:32 пользователем stefbarinov

[DmB]

я так делал изначально, это не помогает.

когда проставляешь 0.0.0.0/0 то туннель кушает все подсети.

В других туннелях прописаны просто нули и маршруты работают нормально, в этом делал и с нулями и как Вы пишите, указывал обе подсети - ничего не меняется

[bzzztomas77]

у меня разрешена 192.168.0.0/16 на всех wg интерфейсах

 

[bzzztomas77]

штатными средставими плохо разглядывать маршруты, ставьте ip-full и дальше командой ip route в shell изучайте.

 

[DmB]

7 часов назад, stefbarinov сказал:

В настройках Пира на WG-сервере Вам нужно указать ip адрес тоннеля на стороне клиента (в моем случае клиент получает адрес 172.31.240.2/32) и ip адрес сети за WG-клиентом (в моем случае 10.172.5.0/24).

  Показать контент

И затем соответственно прописываем маршрут в сеть WG-клиента

 

  Показать контент

 

Чтобы не быть голословным, вот скрин - прописал обе подсети - эффекта увы не дало

[DmB]

13 часов назад, bzzztomas77 сказал:

если есть entware - ставить дополнительные тулзы типа tcpdump, traceroute, ip-full и смотреть

Подскажите, это какие то утилиты, которые можно установить на Кинетике? В списке Приложений просто не вижу у себя таких

[DmB]

8 часов назад, stefbarinov сказал:

В настройках Пира на WG-сервере Вам нужно указать ip адрес тоннеля на стороне клиента (в моем случае клиент получает адрес 172.31.240.2/32) и ip адрес сети за WG-клиентом (в моем случае 10.172.5.0/24).

  Скрыть контент

И затем соответственно прописываем маршрут в сеть WG-клиента

 

  Скрыть контент

Я вот так все и прописываю, не помогает

[bzzztomas77]

57 minutes ago, DmB said:

Подскажите, это какие то утилиты, которые можно установить на Кинетике? В списке Приложений просто не вижу у себя таких

сперва почитать и установить opkg: https://help.keenetic.com/hc/ru/articles/360021888880-Установка-OPKG-Entware-на-встроенную-память-роутера

потом в командной строке установить пакет ip-full:

# opkg install ip-full

# ip ro
default via 78.107.234.161 dev eth3 
10.1.30.0/24 dev br1  proto kernel  scope link  src 10.1.30.1 
78.107.234.160/30 dev eth3  proto kernel  scope link  src 78.107.234.162 
85.21.192.5 via 78.107.234.161 dev eth3 
185.17.121.215 via 78.107.234.161 dev eth3 
192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.1 
192.168.1.0/24 dev br0  proto bird  scope link  metric 32 
192.168.2.0/24 via 192.168.21.2 dev nwg2  proto bird  metric 32 

...

 

[bzzztomas77]

у меня проблемы возникали из-за двух моментов:

1) маршрутов много, на каждом хосте нужно прописать правильные, где-то что-то забывал

2) nat тоже мешал, пришлось его отключить "по-умолчанию" ( и включать только на интерфейсах которые в интернет ведут (командой ip static Home ISP, у вас иначе может выглядеть)