Wireguard, не достучаться в сеть за кинетиком

[Kirich2]

Добрый день, прошу помощи с настройкой Wireguard.

Схема до безобразия простая на Viva (1910) прошивка 5.0.4 поднят "сервер" с помощью их приложения, приложении выбран доступ к домашней сети, клиенты настроены (приложение ПК, смартфон), правила fw прописаны, все по мануалам. В итоге:

1. Туннель поднимается

2. Клиенты пингуют сам кинетик как по локальному ip, так и по ip туннеля, но доступа в домашнюю сеть нет, ни одно устройство не пингуется

3. Трассировка с клиентов в домашнюю сеть умирает на ip туннеля, дальше не идет

4. С кинетика пингуются клиенты только по ip туннеля, трассировка не идет

5. из домашней сети пиры пингуются по ip туннеля

Все что нашел на форумах испробовал, а именно:

1. перевод интерфейса wireguard в private 

2. правила fw для интерфейса wireguard и домашней сети - все на все

3. статические маршруты для сетей за клиентами, тоже прописаны

4. указание доступных подсетей 0.0.0.0/0 для клиентов не помогает

 

НЕ понимаю куда копать, чтобы были видны подсети и за кинетиком и за клиентами

 

[Nicko McBrain]

В настройках пира подсети прописаны? Покажите скрины

Изменено Понедельник в 21:06 пользователем Nicko McBrain

[Kirich2]

Тут уже от отчаяния прописал все везде.

[Nicko McBrain]

24 минуты назад, Kirich2 сказал:

Тут уже от отчаяния прописал все везде

На клиенте в приложении (редактировать) снята галка в чек-боксе «блокировать нетунельный трафик»? Галка Nat для клиентов не решает проблему?

Изменено Понедельник в 21:51 пользователем Nicko McBrain

[Kirich2]

Да галка, снята, она появляется только если указать подсеть 0.0.0.0/0, но это не мой вариант. NAT не помогает, да он мне и не нужен, инет должен оставаться локально на клиенте.

На кинетике видно приходящий icmp запрос c клиента 172.16.6.2, в пакетах как на интерфейсе wg, так и на lan эти запросы видны, но ответа нет. 

Трасерт с 192.168.150.117 до ip клиента 172.16.6.2 идет, через - 192.168.150.1 (кинетик) - 172.16.6.1 (кинетик) - дальше затык

Трасерт с 172.16.6.2 до 192.168.150.117 идет, через 172.16.6.1 (кинетик) - дальше затык

С кинетика пинг 172.16.6.2 идет, трасерт до него же - нет. 

С кинетика, как из локалки 192.168.150.117 прекрасно пингуется и трассируется.

Как уже писал на fw кинетика прописаны правила для WG все на все для IP и для ICMP, такие же и для домашней сети все на все для обоих протоколов

Маршруты на клиенте до сети wg и до сети 150.0/24 (домашней) приложение корректно прописывает

 

[qmxocynjca]

37 минут назад, Kirich2 сказал:

Как уже писал на fw кинетика прописаны правила для WG все на все для IP и для ICMP, такие же и для домашней сети все на все для обоих протоколов

Правила-то может и прописаны, но включены ли они? Я пару раз о такое спотыкался.

[Kirich2]

Да, включены. Везде "галочки" синие) 

Более того, делал сброс и повторял все настройки с самого начала. Настройка WG с использованием не приложения "сервер", а "Других подключений" приводит ровно к такому же результату (

[Nicko McBrain]

5 минут назад, Kirich2 сказал:

приводит ровно к такому же результату (

Давайте удаленку вместе посмотрим

[Kirich2]

Удаленка, к чему к кинетику? Это крайний случай, конечно, хотелось бы самому понять в чем проблема. До этого настраивал кучу других железяк, проблем не было, правда там логи были, а не как здесь. Просто сейчас потребовался wg, а эти устройства когда были куплены и валялись без дела, решил попробовать поднять, бился несколько вечеров прежде чем сюда написать. Хотелось бы понять логику устройства и почему не работает (схему разрешенных и запрещенных направлений изучил). Вроде все просто и должно работать, но не работает. Могу выгрузить конфигурацию, если это поможет.

[Nicko McBrain]

15 минут назад, Kirich2 сказал:

Удаленка, к чему к кинетику?

К ПК, чтобы Вы тоже могли смотреть). Раз это крайний случай, то покажите скрин настроек пира на стороне сервера из раздела "Другие подключения".

Спойлер

 

Изменено 19 часов назад пользователем Nicko McBrain

[Kirich2]

"Другие подключения" подключения сейчас удалил, оставил только вариант "WireGuard VPN-сервер", настройки вот

[Nicko McBrain]

Маршрутизатор в ребут отправляли после настроек?

10 часов назад, Kirich2 сказал:

Клиенты пингуют сам кинетик как по локальному ip, так и по ip туннеля, но доступа в домашнюю сеть нет, ни одно устройство не пингуется

Клиенты - ПК? Если ПК, то в сторону брандмауэра не смотрели?

[Kirich2]

Перепробовал все варианты клиентов, первоочередно туннель нужен был из opnsense, но так как там не взлетело, решил попробовать на приложении с ПК. Тоже не получилось, тоже грешил на ограничение брандмауэр так как перед ПК стоит аппаратный fw, но ничего ограничивающее не нашел, drop'ов в логах нет. Последний вариант это смартфон на 4g (ph-kirich2), там вообще прописано 0.0.0.0/0, причем если ставлю галку nat в инет со смартфона прекрасно бегает, но в локалку, что с nat, что без не пингуется 

[Nicko McBrain]

10 минут назад, Kirich2 сказал:

первоочередно туннель нужен был из opnsense

Настраивайте Opnsense (покажите на нем настройки peer и instance) или любой другой "клиентом" во вкладке "Другие подключения" и выкладывайте скрины настроек пира, МСЭ, маршрутов. У меня Opnsense также выступает "клиентом", все сети за маршрутизаторами прекрасно видятся.

Изменено 19 часов назад пользователем Nicko McBrain

[Kirich2]

Кинетик:

[Kirich2]

opnsense:

[Nicko McBrain]

1. В МСЭ Вивы в интерфейсе WS-сервер разрешаем только ip

Спойлер

2. 

Спойлер

3.

Спойлер

4.

Спойлер

5.

Трассировка с хоста за Opnsense до хоста за WG-сервером

Спойлер

 

Изменено 16 часов назад пользователем Nicko McBrain

[Kirich2]

Это какая-то мистика.

1. Оставил только одно правило, перезагрузил

2. В instance добавлена сеть за wg-srv (150.0/24), "Disable routes" - включил. После этого с opnsense пинг и трассировка кинетика по 150.1 пропала

3. Адрес wg туннеля заменен на подсеть

Результата нет, пинг до устройства за кинетиком не идет. Я уже склонен думать может с Vivой что-то не так, на ней вырублен полностью wifi, но в интерфейсах при маршрутизации я вижу кучу разных wifi/accesspoint, так и должно быть? Как её можно сбросить прям в ноль, чтобы было все "как с завода"?

Есть у меня ещё Speedster на нем еще пробовать. Но это только вечером можно провернуть. 

 

[Nicko McBrain]

12 минут назад, Kirich2 сказал:

Как её можно сбросить прям в ноль

Через кнопку на задней панели. Попробуйте ещё на Opnsense погасить пир, инстанс и заново включить

[Kirich2]

4 минуты назад, Nicko McBrain сказал:

Через кнопку на задней панели. Попробуйте ещё на Opnsense погасить пир, инстанс и заново включить

Это сразу сделал.

Спасибо за помощь, пока возьму паузу, до вечера, после работы попробую сбросить через кнопку и все настроить заново и, как запасной вариант, попробую все тоже самое настроить на Speedster. О результатах обязательно отпишусь.

[bzzztomas77]

поставить opkg, поставить tcpdump, искать пакеты на интерфейсах, смотреть таблицы маршрутизации и fw - возможно пакет не проходит (дропается на fw) или уходит не туда куда нужно.