Wireguard и блокировка портов

[Vladimir Kravets]

День добрый,

Имеется белый IP и решил настроить на своем звере (Keenetic VIVA KN-1910) wireguard как более новое и безопасное решение для VPN.
После настройки оба клиента (роутер и компьютер) благополучно подключились, но доступа ни на что нет с компьютера. После некоторых попыток обнаружил что
- порты все кроме 80 закрыты (по крайне мере на роутере)
- получилось подключится на web роутера, на другие компьютеры в сети не проверял
- firewall есть правило с любого на любой по IP для wireguard сети

Может что-то не настроил еще? Шел по гайду на офф сайте

Возможно стоит другое решение для VPN на кинетиках? Из того что надо, доступ в домашную сеть, rdp, vnc и скачка файлов, в дом сети 2-3 компьютера....

С Уважением,
Владимир

[Vladimir Kravets]

Проблема решилась ручным редактированием конфигурации а именно прилилковать правило файрвола к wireguard такой строчкой

ip access-group _WEBADMIN_Wireguard0 in

Правило в конфигурации существовало но по какой-то причине не было использовано в интерфейсе, создавалось через ui: Network Rules -> Firewall -> wg-server

Описание в конфиге было таким:

interface Wireguard0
    description wg-server
    security-level public
    ip address 172.16.82.1 255.255.255.0
    ip tcp adjust-mss pmtu
    wireguard listen-port 16631
    wireguard peer my-client-public-key !wg-client-mac
        allow-ips 172.16.82.10 255.255.255.255
    !
    up

Возможно баг UI?

Кто-то может подтвердить или опровергнуть это?

Прошивка:

Current KeeneticOS version: 3.3.2

[vasek00]

Периодически используется данная схема KN1910---Инет----Windows подключение по Wiregurd, сейчас ПО 35B7 доступ к лок.сети роутера устройствам по WEB, так же без проблем к NAS (SFTP)

Скрытый текст

По конф как был так и остался => как работало так и работает.

Скрытый текст

access-list _WEBADMIN_Wireguard0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

interface Wireguard0
    description WWWW
    security-level public
    ip address 10.16.131.1 255.255.255.0
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard listen-port 5хххх
    ....
    !
    wireguard peer DimL......Q= !PS
        keepalive-interval 15
        allow-ips 10.16.131.2 255.255.255.255
        allow-ips 192.168.130.0 255.255.255.0
    ..

    up

Строчки "isolate-private" нет или она же "no isolate-private"

Посмотрел конфиг от 33B204 то же самое, только клиентов wireguard поменьше и "ip mtu 1420" нет

 

Изменено 29 октября, 2020 пользователем vasek00

[Mike Khrebtoff]

Похоже, аналогичная проблема на KN-3010 и прошивке 3.5.2 - смог зайти только на админку роутера, больше никуда.

Можно чуть подробнее шаги решения описать? Предложенная команда не работает.

[Mike Khrebtoff]

vasek00, спасибо! Изначальная картинка в конфиге была как у Владимира, добавил вручную недостающие как в вашем - все заработало!

Похоже все-таки баг новых версий интерфейса, т.к. настройку делал по инструкции.