Wireguard. узел-сеть. как сделать соединения в обе стороны?
Добрый день. Попробую как можно коротко:
Сервер WG: Keenetic, lan 1.0/24. [Lan Ip 1.1] [WG ip 2.1]
сеть wg: 2.0/24
Клиент: Windows [WG ip 2.2]
Клиент подключается к серверу, локальная сеть доступна. Маршруты выставлены, фильтр настроен.
Из локальной сети клиент не доступен.
tracert 2.1 выдает первым же прыжком.
tracert 2.2 выдает первый прыжок на 1.1 и дальше ничего...
белый ip только у сервера.
Я маршрут даже явно указывал на 2.2, не помогает...
Буду очень признателен. Большое спасибо.
Drno, Да, в теории маршрут прописан через этот интерфейс. но вот при обращение на шлюз маршрут работает, а при попытки пингануть ип клиента в сети вг, маршрут не работает.
Andrey Barbolin, файервол открывал. А вот нат... с натом я не понял если честно, что может быть. есть маршрут который говорит, что при взаимодествии с сподетью 2.0/24 использовать интерфейс Вардгуард. но это не помогает. Маршрут я даже пытался указать явно направляя на шлюз ВГ, но это всё равно не помогло. ..
Andrey Barbolin, Drno, Andrey Barbolin,
Большое вам спасибо.
Делюсь результатом получается. Добавил правило в переадресации и всё стало пинговаться. Прикрепил скрин.
Причем одним прыжком, как будто игнорируя роутер вовсе. Почему роутер в данном случае не уменьшает ттл, я не понял.
Пока еще до конца не выкупил как это работает, но всё явно работает...
И отвечу на последние комментарии
@Drno, nat стоит на интернет интерфейсе
Такое же правило надо сделать на интерфейс варегуард, чтоб он маршрутизировал в впн
мммм... но теоретически у меня не было конфликтов ip адресов. Это называется snat, но я не понимаю как это реализовывать на моём роутере. Пинг не проходил даже с самого роутера на клиента.
@dronmaxman, Возможно WG сервер натит трафик от VPN клиентов в локальную сеть.
Ну в моём понимании вроде так и должно быть. У меня клиенты это отельные пк, и подключаются к целой подсети роутера. Только вот запросы из этой подсети не доходили в обратную сторону. Или вы имели ввиду, что не натит в обратную, а только в одну...
Буду сейчас тестить, и попробую понять насколько такое решение годное... Большое всем спасибо"
Drno, Andrey Barbolin,
Нет, проблема оказалась до сих пор нерешенной.
Теперь я еще и почувствовал себя глупо, сразу обрадовавшись успешному пингу.
По факту, все запросы просто перенаправились на интерфейс WG и отвечал на пинг шлюз :-(
Посмотрите в сторону PersistentKeepalive на клиенте и связанные настройки.
Если клиенту сеть не нужна, то он опускает интерфейс и снаружи его не разбудить никак.
А так всё работает в обе стороны. У меня, по крайней мере. Правда, не кинетик + Windows, а 2 × Linux.
Да, то что отпускает соединение я знаю. Но на момент проверок, соединение было установлено. Поробую погуглигить завтра про PersistentKeepalive, спасибо.
zmk_project, Вообще говоря к кинетику тоже вопросы.
У нас тут в деревне был случай - Keenetic Ultra. Wireguard номинально есть, пишет, что работает. И даже пакеты ходят. Но результата нет - не вижу никого. Клиент - macOS, Linux, Windows - нифейхоа.
А на микротике (сервер) взлетело только в путь. И на линухе (Fedora, CentOS 7/8).
Карма.
