Маршрутизация Keenetic vs Mikrotik по WireGuard

[DmB]

Добрый всем день,

Сломал себе уже всю голову и не могу разобраться, буду оч благодарен, кто подкинет идея конструктивно и по делу.

Задача:

Создать туннели WireGuard между 4 квартирами.

Проблема:

Одна квартира (К) при подключенном туннеле не хочет корректно делать маршрутизацию по внутренним IP c другой квартирой (М).

При это та же квартира К с другими двумя квартирами А и В работает корректно и работает маршрутиза2ция

То есть, когда пингуешь ip адреса внутренней сети M с квартиры К, то пингуется только шлюз 10.1.0.1, а остальные нет, хотя маршрутизация прописана.

При чем аналогично настроены еще 2 квартиры (А и В), настройки один в один, конечно только меняются внутренний локальные адреса, но в остальном все одинаково.

Вводные данные:

1/ LAN K (Keenetik  Peak (KN-2710) EAEU, Версия ПО 4.3.6)

Внутренняя сеть - 10.2.0.0/24

2/ LAN M (Mikrotik Hex S RB760iGS Весия ПО 7.19.6)

Внутренняя сеть - 10.1.0.0/24

3/ LAN A (Mikrotik Hex S RB760iGS Весия ПО 7.19.6)

Внутренняя сеть - 10.0.0.0/24

4/ LAN B (Mikritik hAP ax 2 C52iG-5HaxD2HaxD , Весия ПО 7.19.6)

Внутренняя сеть - 10.3.0.0/24

Сети A, B и М имеют внешний стат IP, Сеть К с динамическим серым IP.

Напомню, что туннели с сетью К все работают нормально и стабильно даже без стат IP у сети K.

То есть это не может являться проблемой, так как маршрутизация между А и К, между В и К работает корректно, проблема только в цепочке К и М.

 

Настройка WireGurаrd

Микротик и Кинетик совершенно просто и быстро создают туннель, в том числе между проблемным К и М.

Я пробовал менять порт прослушивания, менял Разрешенные адреса, сейчас стоят 0.0.0.0/24, с таким условием работают 2 оставшихся тоннеля.

По аналогии с уже работающим тоннелем, где норм работает маршрутизация настройка кратко выглядит так:

1/ создаем сервер, порт 21500

 

2/ на микротике также создаем сервер и пир, однако порт в пире сам меняется на рандом, я не понял почему, но так все работает в туннеле между К и А и между К и В, там такая же история

3/ Также создаем Пир на Кинетике

4/ Я пробовал делать кинетиком с ай пи 1, а микротик с ай пи 2 на конец, но это не дает результата, тем более в успешных тоннелях микротики всегда с ай пи 1 на конце

5/ Вот на микротике присваиваем тунелю ай пи с  единицей на конце

 

6/ Прописываем маршрут, чтобы с сети М (Микротик) было видны ай пи сети К

7/ Аналогично делаем и в кинетике (сеть К)

8/ Никаких правил файрволла нет, все работает и без них

 

ИТОГО:

Коннект WireGuard есть и он стабильный, пингуется только 10.1.0.1, остальные ай пи адреса сети М с сети К не пингуются,

Пинг с сети М на сеть К вообще не проходит даже на 10.2.0.1 (на шлюз), не понимаю почему, хотя в микротике Маршрут прописан и привязан к туннелю.

есть идеи, где косяк можем быть?

Обращаю внимание, что этот же роутер кинетик работает с сетью А, где один в один такой же микротик и те же настройки, и все норм с маршрутами и там все пингуется. Магия какая то....

Изменено 21 час назад пользователем DmB

[DmB]

Сети А, В и М между собой также работают по WireGuard и там нет проблем с маршрутами

[bzzztomas77]

описание проблемы тяжело читается, со схемой было бы проще.

если есть entware - ставить дополнительные тулзы типа tcpdump, traceroute, ip-full и смотреть ими таблицы маршрутизации, как трафик проходит.

у меня тоже несколько кинетиков и куча соединений wg между ними, продублированных через openvpn. некоторые сети связаны не напрямую (из-за отстутствия белых ip), но все работает нормально.

 

[stefbarinov]

14 часов назад, DmB сказал:

Также создаем Пир на Кинетике

В настройках Пира на WG-сервере Вам нужно указать ip адрес тоннеля на стороне клиента (в моем случае клиент получает адрес 172.31.240.2/32) и ip адрес сети за WG-клиентом (в моем случае 10.172.5.0/24).

Спойлер

И затем соответственно прописываем маршрут в сеть WG-клиента

 

Спойлер

 

Изменено 7 часов назад пользователем stefbarinov

[DmB]

я так делал изначально, это не помогает.

когда проставляешь 0.0.0.0/0 то туннель кушает все подсети.

В других туннелях прописаны просто нули и маршруты работают нормально, в этом делал и с нулями и как Вы пишите, указывал обе подсети - ничего не меняется

[bzzztomas77]

у меня разрешена 192.168.0.0/16 на всех wg интерфейсах

 

[bzzztomas77]

штатными средставими плохо разглядывать маршруты, ставьте ip-full и дальше командой ip route в shell изучайте.