Как попасть в сеть за клиента wireguard?

[Дмитрий Коновалов]

Всем доброго времени суток.

Настроил подключение при помощи wireguard на Keenetic Giga. Клиент - Ubuntu Server 18.04  (серый ip). Клиента вижу, его адрес в локальной сети тоже. Но как пройти дальше за клиента в сеть не могу понять.

Help...

Изменено 22 марта, 2020 пользователем Дмитрий Коновалов

[vasek00]

В 22.03.2020 в 07:58, Дмитрий Коновалов сказал:

Настроил подключение при помощи wireguard на Keenetic Giga. Клиент - Ubuntu Server 18.04  (серый ip). Клиента вижу, его адрес в локальной сети тоже. Но как пройти дальше за клиента в сеть не могу понять.

Обратить внимание на три места в настройке :

1. сам туннель/пир

2. межсетевой экран

3. маршрутизация (доб.стат маршрута)

Скрытый текст

На роутере

На удаленном клиенте у которого сеть например 192.168.10.х (он сам 192.168.10.1) прописать так же маршрут для сети роутера Keenetic 192.168.1.0/255.255.255.0 где интерфейсом должен быть интерфейс от Wireguard на клиенте nwg0 (имя может быть другим) или указать нужный IP адрес (по настройкам вашего туннеля).

LAN---192.168.1.0/24--[192.168.1.1(роутер)IP_nwg0_10.16.10.1]---туннель---[IP_nwg0_10.16.10.100(Клиент)192.168.10.1]----LAN

 

Изменено 23 марта, 2020 пользователем vasek00

[Дмитрий Коновалов]

41 minutes ago, vasek00 said:

Обратить внимание на три места в настройке :

1. сам туннель/пир

2. межсетевой экран

3. маршрутизация (доб.стат маршрута)

  Hide contents

На роутере

На удаленном клиенте у которого сеть например 192.168.10.х (он сам 192.168.10.1) прописать так же маршрут для сети роутера Keenetic 192.168.1.0/255.255.255.0 где интерфейсом должен быть интерфейс от Wireguard на клиенте nwg0 (имя может быть другим) или указать нужный IP адрес (по настройкам вашего туннеля).

LAN---192.168.1.0/24--[192.168.1.1(роутер)IP_nwg0_10.16.10.1]---туннель---[IP_nwg0_10.16.10.100(Клиент)192.168.10.1]----LAN

 

ok, спасибо.

На роутере настройки были сделаны в первую очередь.

Не совсем понятно, что делать на клиенте

Изменено 23 марта, 2020 пользователем Дмитрий Коновалов

[vasek00]

1 час назад, Дмитрий Коновалов сказал:

ok, спасибо.

На роутере настройки были сделаны в первую очередь.

Не совсем понятно, что делать на клиенте

 

На любом устройстве есть таблица маршрутов => т.е. нужно описание с двух сторон.

На клиенте описать вашу удаленную сеть к которой нужен доступ чтоб отправленный "пакетик" знал с какого интерфейса он должен уйти для нужной вам сети.

Например команды

route add -net 192.168.10.0 netmask 255.255.255.0 gw 10.16.10.100

Или смотрите команду "ip route add 192.168.10.0/24 via 10.16.10.100"



LAN---192.168.1.0/24--[192.168.1.1(роутер)IP_nwg0_10.16.10.1]---туннель---[IP_nwg0_10.16.10.100(Клиент)192.168.10.1]----LAN 

Скрытый текст

Описание на клиенте роутер не роутер, клиент по барабану, таблица маршрутов есть везде.

/ # ifconfig
br0       Link encap:Ethernet  HWaddr хх:хх:хх:хх:хх:94  
          inet addr:192.168.13.100  Bcast:192.168.13.255  Mask:255.255.255.0
 

...

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.13.100  P-t-P:10.16.13.100  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:44 errors:0 dropped:0 overruns:0 frame:0
          TX packets:277 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:3260 (3.1 KiB)  TX bytes:14996 (14.6 KiB)

ppp0      Link encap:Point-to-Point Protocol  
....

ppp1      Link encap:Point-to-Point Protocol  

....

/ # ip ro
default dev ppp0  scope link
10.16.13.0/24 dev nwg0  proto kernel  scope link  src 10.16.13.100
....

192.168.1.0/24 dev nwg0  scope link
192.168.13.0/24 dev br0  proto kernel  scope link  src 192.168.13.100
....

/ #

"nwg0" имя туннельного интерфейса

"ppp0/ppp1" имя интерфейсов интернет канала

"br0" имя интерфейса для локальной сети

Таблица маршрутов

"10.16.13.0/24 dev nwg0  proto kernel  scope link  src 10.16.13.100" - сам туннель и его сеть

"192.168.1.0/24 dev nwg0  scope link" стат маршрут для удаленной сети, любой пакет для сети 192.168.1.0/24 отправлять через  "dev nwg0"

"192.168.13.0/24 dev br0  proto kernel  scope link  src 192.168.13.100" описание локальной сети

"default dev ppp0  scope link" - default, маршрут

Принцип :

- адресованный пакет проверяется на соответствие адресам сети в данной таблице маршрутов и если совпадает с нужной строкой (с сетью) то отправляется в нужный интерфейс

- если нет такого маршрута то по маршруту default

 

[Дмитрий Коновалов]

2 hours ago, vasek00 said:

На любом устройстве есть таблица маршрутов => т.е. нужно описание с двух сторон.

На клиенте описать вашу удаленную сеть к которой нужен доступ чтоб отправленный "пакетик" знал с какого интерфейса он должен уйти для нужной вам сети.

Например команды

route add -net 192.168.10.0 netmask 255.255.255.0 gw 10.16.10.100

Или смотрите команду "ip route add 192.168.10.0/24 via 10.16.10.100"



LAN---192.168.1.0/24--[192.168.1.1(роутер)IP_nwg0_10.16.10.1]---туннель---[IP_nwg0_10.16.10.100(Клиент)192.168.10.1]----LAN 

  Reveal hidden contents

Описание на клиенте роутер не роутер, клиент по барабану, таблица маршрутов есть везде.

/ # ifconfig
br0       Link encap:Ethernet  HWaddr хх:хх:хх:хх:хх:94  
          inet addr:192.168.13.100  Bcast:192.168.13.255  Mask:255.255.255.0
 

...

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.13.100  P-t-P:10.16.13.100  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:44 errors:0 dropped:0 overruns:0 frame:0
          TX packets:277 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:3260 (3.1 KiB)  TX bytes:14996 (14.6 KiB)

ppp0      Link encap:Point-to-Point Protocol  
....

ppp1      Link encap:Point-to-Point Protocol  

....

/ # ip ro
default dev ppp0  scope link
10.16.13.0/24 dev nwg0  proto kernel  scope link  src 10.16.13.100
....

192.168.1.0/24 dev nwg0  scope link
192.168.13.0/24 dev br0  proto kernel  scope link  src 192.168.13.100
....

/ #

"nwg0" имя туннельного интерфейса

"ppp0/ppp1" имя интерфейсов интернет канала

"br0" имя интерфейса для локальной сети

Таблица маршрутов

"10.16.13.0/24 dev nwg0  proto kernel  scope link  src 10.16.13.100" - сам туннель и его сеть

"192.168.1.0/24 dev nwg0  scope link" стат маршрут для удаленной сети, любой пакет для сети 192.168.1.0/24 отправлять через  "dev nwg0"

"192.168.13.0/24 dev br0  proto kernel  scope link  src 192.168.13.100" описание локальной сети

"default dev ppp0  scope link" - default, маршрут

Принцип :

- адресованный пакет проверяется на соответствие адресам сети в данной таблице маршрутов и если совпадает с нужной строкой (с сетью) то отправляется в нужный интерфейс

- если нет такого маршрута то по маршруту default

 

Сделал так:

1. На клиенте: sudo route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.25.4 (wg адрес клиента )

2. Получаю вот такое за роутером:
ping 192.168.1.10 (адрес пк за клиентом)
PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data.
From 192.168.25.4 icmp_seq=1 Destination Host Unreachable
From 192.168.25.4 icmp_seq=2 Destination Host Unreachable

3. На wg клиенте:

ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data.
From 192.168.25.4 icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Required key not available
 

Изменено 23 марта, 2020 пользователем Дмитрий Коновалов

[vasek00]

14 часа назад, Дмитрий Коновалов сказал:

Сделал так:

(сервер)WG---Интернет--WG(клиент)-------LAN------Клиент

На клиенте WG и клиент на LAN делает ping

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.131.100  P-t-P:10.16.131.100  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:912 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1425 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:1077824 (1.0 MiB)  TX bytes:122772 (119.8 KiB)


ip ro

default dev ppp0  scope link 
10.16.131.0/24 dev nwg0  proto kernel  scope link  src 10.16.131.100 
192.168.1.0/24 dev nwg0  scope link 
192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.100 

где 
192.168.1.0/24 удаленная сеть (сервер)WG или она же через туннель nwg0 
192.168.130.0/24 локальная сеть WG(клиент)


На клиенте 192.168.130.10 в сторону 192.168.1.2

Обмен пакетами с 192.168.1.2 по с 32 байтами данных:
Ответ от 192.168.1.2: число байт=32 время=34мс TTL=62
Ответ от 192.168.1.2: число байт=32 время=34мс TTL=62
Ответ от 192.168.1.2: число байт=32 время=38мс TTL=62
Ответ от 192.168.1.2: число байт=32 время=34мс TTL=62

Статистика Ping для 192.168.1.2:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 34мсек, Максимальное = 38 мсек, Среднее = 35 мсек

Пакет идет не по default маршруту а по записи 
192.168.1.0/24 dev nwg0  scope link 

На второй стороне чтоб был ответ запись так же должна быть в сторону сети 192.168.130.0

 

[VirtuoozX]

Про Ubuntu не знаю 
Настраивал на centos 7 и вот инструкция чего я делал. В файл сохранил

Работает 

VDS Репитер.txt

Но чтобы был доступ в интернет нужно в роутере добавить DNS

8.8.8.8

8.8.4.4

Ну и потом профиль подключения для устройств сделать и всё

Изменено 24 марта, 2020 пользователем VirtuoozX