Как настроить Wireguard server/client, чтобы клиенты видели друг друга?

Question

[sasha300]

Здравствуйте!
Вот так выглядит моя vpn сеть:

Проблема в том, что устройства из сети 192.168.0.0/24 не могут подключиться к роутеру 10.7.0.2 (чтобы мог зайти в админку OpenWRT). И обратное: устройства из сети 192.168.1.0/24 не могут коннектиться к роутеру с ip 10.7.0.4

В то время как смартофон, если получает интернет от мобильного оператора и на нем включен WG клиент, без проблем подключается к обоим роутерам, но если на нем выключить WG клиент и подключить к любой из локальной сети (192.168.0.0/24 или 192.168.1.0/24), то он не сможет подключиться к роутеру, находящийся в другой сети (10.7.0.2 или 10.7.0.4 соответственно).

Пинги идут, к примеру, клиент находится в сети 192.168.0.0/24, пингую 10.7.0.2 - пакеты успешно отправляются, в браузере пытаюсь попасть в админку, набираю 10.7.0.2 - постоянно крутиться обновление страницы, но на этом все.

Заранее признателен за ответ!

Comments

[sasha300]

фаерволл для WireGuard на обоих роутерах выключен, т.е. на обоих роутерах с OpewnWRT вот так:

Answer 1

[Петровский]

> устройства из сети 192.168.0.0/24 не могут подключиться к роутеру 10.7.0.2
Какие стоят AllowedIPs на участниках сети WG? Должны быть подходящие.

> Пинги идут, к примеру, клиент находится в сети 192.168.0.0/24, пингую 10.7.0.2 - пакеты успешно отправляются, в браузере пытаюсь попасть в админку, набираю 10.7.0.2

вероятно, на файрволлах пропускаются пакеты ICMP и не пропускаются TCP. Для OpenWRT такое поведение характерно для WAN-портов в файрволле

Comments

[Петровский]

Вот, например, стандартное правило в Traffic Rules для WAN:

[sasha300]

Какие стоят AllowedIPs на участниках сети WG? Должны быть подходящие.

На обоих роутерах в конфиге AllowedIPs = 0.0.0.0/0, ::/0
В глобальном конфиге WireGuard сервера по каждому клиенту был только ip вида:
AllowedIPs = 10.7.0.2/32
я везде добавил 0.0.0.0/24, т.е. к примеру для 10.7.0.2/32 получилось вот так:
AllowedIPs = 10.7.0.2/32, 0.0.0.0/24
перезагрузил интерфейс (для пущей уверенности перезагрузил сервер), но опять с одной локалки к роутеру другой локалки подключиться не смог =(

[sasha300]

вероятно, на файрволлах пропускаются пакеты ICMP и не пропускаются TCP. Для OpenWRT такое поведение характерно для WAN-портов в файрволле

так в правилах для интерфейса wg (WireGuard) все принимается! Следовательно фаервол тут ни при чем

[Петровский]

AllowedIPs, если я правильно понимаю — это адреса ДРУГОЙ стороны, то есть приходящих пакетов.

Поэтому на 0.1 должны быть: 10.7.0.2/32, 10.7.0.4/32 и для смартфонов, т. е. 10.7.0.0/24
На 0.2 и 0.4 должны быть 0.0.0.0/0

> 0.0.0.0/24
ошибка, пишется как 0.0.0.0/0, но это не нужно.

[Петровский]

> Следовательно фаервол тут ни при чем

Это не совсем верно, учивая замороченность настройки файрволла в OpenWRT. На то, что блокирует файрволл, прямо указывает прохождение пакетов ICMP и непрохождение TCP.

Для диагностики я бы запустил tcpdump сначала на 2м по пути роутере, затем по результатам на 3м.

[Петровский]

Кроме того, на роутере 0.1 не нужен маскарадинг на WG.

[sasha300]

Что-то я начинаю плыть..
Т.е. глобальный конфиг на сервере WG по пути /etc/wireguard/wg0.conf не трогаю и добавление 0.0.0.0/24 не нужно?
Пример глобального конфига (в том состоянии, который был до вопроса):

[Interface]
Address = 10.7.0.1/24
PrivateKey = hide
ListenPort = 15346

# BEGIN_PEER Mikrotik
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.2/32
# END_PEER Mikrotik
# BEGIN_PEER smartphone
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.3/32
# END_PEER smartphone
# BEGIN_PEER Xiaomi
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.4/32
# END_PEER Xiaomi

Т.е. чтобы с одной сети достучаться до роутера другой сети глобальный конфиг вобще не при делах? Работаем только с конфигами на клиентах (а клиенты это роутеры, тогда только с роутерами, а на роутерах OpenWRT, тогда настраиваю только там?)

[Петровский]

1. В WG нет клиентов и серверов. AllowedIPs — это те адреса, которые будут ПРИХОДИТЬ с данного интерфейса.

2. Глобальный конфиг — это роутер 0.1, как я понимаю? У вас роутеры в разных ролях, так что их конфиги должны различаться.

3. Поэтому клиенты, которые своим WG-хвостиком получают пакеты именно из интернета, должны иметь AllowedIPs 0.0.0.0/0 для своего партнёра по WG.

4. Для дальнейшей диагностики надо использовать SSH. Заходите на 0.4 и делаете:
а) ping 0.2
б) curl/wget http : // 0.2

Вопрос про достучаться из другой сети не совсем понял, разберёмся по ходу.

[Петровский]

> Т.е. глобальный конфиг на сервере WG по пути /etc/wireguard/wg0.conf не трогаю и добавление 0.0.0.0/24 не нужно?
да! только нельзя писать 0.0.0.0/24, надо писать 0.0.0.0/0 (там, где нужно)

[Петровский]

[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.4/32
# END_PEER Xiaomi

Вот это означает, что с этой стороны будут приходить только пакеты с адреса 0.4. Что верно, поскольку 0.4 прячет локальную сеть за собой с помощью маскарадинга.

[sasha300]

Для дальнейшей диагностики надо использовать SSH. Заходите на 0.4 и делаете:
а) ping 0.2
б) curl/wget 0.2

Сейчас я в локалке 192.168.1.0/24, поэтому зайти по ssh на 10.0.7.4 не могу, извините.
На комп поставлю RealVNC, чтобы удаленно подключаться к компу 192.168.1.х и, ближе к вечеру, буду в той локалке, т.о. могу управлять роутерами из разных подсеток и начну эксперименты.

[Петровский]

значит, зайдите на 0.2 и ping, traceroute, curl на 0.4, нет разницы

[sasha300]

значит, зайдите на 0.2 и ping, traceroute, curl на 0.4,

root@OpenWrt:~# ping 10.7.0.2
PING 10.7.0.2 (10.7.0.2): 56 data bytes
64 bytes from 10.7.0.2: seq=0 ttl=64 time=0.567 ms
64 bytes from 10.7.0.2: seq=1 ttl=64 time=0.342 ms
64 bytes from 10.7.0.2: seq=2 ttl=64 time=0.344 ms
^C
--- 10.7.0.2 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.342/0.417/0.567 ms
root@OpenWrt:~# traceroute 10.7.0.2
traceroute to 10.7.0.2 (10.7.0.2), 30 hops max, 46 byte packets
 1  10.7.0.2 (10.7.0.2)  0.048 ms  0.048 ms  0.048 ms
root@OpenWrt:~# curl 10.7.0.2
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/                                                                                                                  DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
        <head>
                <meta http-equiv="Cache-Control" content="no-cache, no-store, mu                                                                                                                  st-revalidate" />
                <meta http-equiv="Pragma" content="no-cache" />
                <meta http-equiv="Expires" content="0" />
                <meta http-equiv="Expires" content="Thu, 01 Jan 1970 00:00:00 GM                                                                                                                  T" />
                <meta http-equiv="refresh" content="0; URL=cgi-bin/luci/" />
                <style type="text/css">
                        body { background: white; font-family: arial, helvetica,                                                                                                                   sans-serif; }
                        a { color: black; }

                        @media (prefers-color-scheme: dark) {
                                body { background: black; }
                                a { color: white; }
                        }
                </style>
        </head>
        <body>
                <a href="cgi-bin/luci/">LuCI - Lua Configuration Interface</a>
        </body>
</html>
root@OpenWrt:~#

[Петровский]

Вы, наверное, ошиблись. Мы же проверяем маршрутизацию, поэтому с 0.2 на 0.4, или наоборот

[sasha300]

аа, малеха перепутал =(

- Пинги на 10.7.0.4 не идут

- Трассировка:

traceroute to 10.7.0.4 (10.7.0.4), 30 hops max, 46 byte packets
 1  10.7.0.1 (10.7.0.1)  66.576 ms  57.706 ms  66.993 ms
 2  10.7.0.4 (10.7.0.4)  122.427 ms  107.681 ms  118.133 ms

- Curl:

curl 10.7.0.4
curl: (7) Failed to connect to 10.7.0.4 port 80 after 114 ms: Error
root@OpenWrt:~#

[Петровский]

ping шлёт ICMP, traceroute UDP, где-то файрволл.

Я бы причесал AllowedIPs и воспользовался бы tcpdump. Пока можно посмотреть tcpdump на роутере 0.1 при запросе curl с 0.2 на 0.4, протокол tcp, порт 80

Также можно пропингать с 0.2 смартфон 0.3, при этом на смартфоне должно стоять AllowedIPs 0.0.0.0/0, файрволла на смартфоне быть не должно.

[sasha300]

на роутере 0.1

ну это VDS с Ubuntu 22.04 server

Пока можно посмотреть tcpdump на роутере 0.1 при запросе curl с 0.2 на 0.4, протокол tcp, порт 80

я уже в дороге, как буду дома - проведу тесты

[sasha300]

Теперь я под роутером 10.7.0.4, в локалке 192.168.0.0/24

Также можно пропингать с 0.2 смартфон 0.3, при этом на смартфоне должно стоять AllowedIPs 0.0.0.0/0, файрволла на смартфоне быть не должно.

Телефон получает инет от ОПОСА, включен Wireguard:

root@OpenWrt:~# ping 10.7.0.3
PING 10.7.0.3 (10.7.0.3): 56 data bytes
64 bytes from 10.7.0.3: seq=0 ttl=63 time=130.525 ms
64 bytes from 10.7.0.3: seq=1 ttl=63 time=146.244 ms
64 bytes from 10.7.0.3: seq=2 ttl=63 time=135.313 ms
^C
--- 10.7.0.3 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 130.525/137.360/146.244 ms

В конфигах wireguard на телефоне: в разделе Пир => Разрешенные IP:
0.0.0.0/0, ::/0

[Петровский]

Вот видите. Также должен пингаться и роутер (0.4 -> 0.2 сейчас, как я понял).

[sasha300]

Я бы причесал AllowedIPs и воспользовался бы tcpdump. Пока можно посмотреть tcpdump на роутере 0.1 при запросе curl с 0.2 на 0.4, протокол tcp, порт 80

Я правильно понял, что нужно запустить на VDS (у него ip 10.7.0.1) tcpdump c указанием интерфейса wg0 и сделать запрос с роутера 10.7.0.4 на роутер 10.7.0.2 (так как я нахожусь уже под роутером 10.7.0.4)?

[Петровский]

Можно и так, можно и на промежуточном.

Фильтровать а) по протоколу icmp б) tcp 80

[sasha300]

Вот видите. Также должен пингаться и роутер (0.4 -> 0.2 сейчас, как я понял).

Пингуется:

root@OpenWrt:~# ping 10.7.0.2
PING 10.7.0.2 (10.7.0.2): 56 data bytes
64 bytes from 10.7.0.2: seq=0 ttl=63 time=132.892 ms
64 bytes from 10.7.0.2: seq=1 ttl=63 time=140.974 ms
64 bytes from 10.7.0.2: seq=2 ttl=63 time=128.510 ms

[sasha300]

Фильтровать а) по протоколу icmp б) tcp 80

Тут другой затык, на wireguard c 10.7.0.1 запустил и набрал команду:
tcpdump -i wg0 host 10.7.0.4
у меня там очень много запросов показало за 22 тысячи, через минуту прервал команду, может есть какой-то способ поставить фильтр?

[Петровский]

Так конечно, он в том числе и показывает пакеты, которые отсылает вам для показа текста, а потом снова их показывает. Нагуглить

[Петровский]

tcpdump -i wg0 tcp port 80 вроде бы так

[sasha300]

tcpdump -i wg0 tcp port 80

беру паузу, не понимаю как сделать грамотно запрос, пока выдает:

tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes

типа подробный запрос подавлен, пробовал: tcpdump -i wg0 tcp:80 и tcpdump -i wg0 tcp port.80
в общем пока курю маны.
tcpdump -i wg0 host 10.7.0.4 -vvv - работает, но как сюда 80 порт засунуть - пока не понятно

[Петровский]

tcpdump -i wg0 tcp port 80
tcpdump -i wg0 tcp port 80 and host 10.7...
tcpdump -i wg0 -c 4 tcp port 80 and ...
Всё верно. Только что проверил. А сам запрос отправляли?

Чуть позже скину вам дамп работающей конфигурации, такая же схема

[sasha300]

А сам запрос отправляли?

что-то я затупил, пару через пару минут выдам результаты

[sasha300]

Петровский,
вот мои действия:
на VDS запускаю:

tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

затем на роутере с ip 10.7.0.4 (домашний роутер) запускаю:

root@homeOpenWRT:~# curl 10.7.0.2
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
	<head>
		<meta http-equiv="Cache-Control" content="no-cache, no-store, must-revalidate" />
		<meta http-equiv="Pragma" content="no-cache" />
		<meta http-equiv="Expires" content="0" />
		<meta http-equiv="Expires" content="Thu, 01 Jan 1970 00:00:00 GMT" />
		<meta http-equiv="refresh" content="0; URL=cgi-bin/luci/" />
		<style type="text/css">
			body { background: white; font-family: arial, helvetica, sans-serif; }
			a { color: black; }

			@media (prefers-color-scheme: dark) {
				body { background: black; }
				a { color: white; }
			}
		</style>
	</head>
	<body>
		<a href="cgi-bin/luci/">LuCI - Lua Configuration Interface</a>
	</body>
</html>
root@homeOpenWRT:~#

перехожу на VDS и вижу логи:

root@yhhf-57gffvghytf:~# tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
19:50:12.102813 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264169854 ecr 0,nop,wscale 5], length 0
19:50:12.102843 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264169854 ecr 0,nop,wscale 5], length 0
19:50:13.154094 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264170873 ecr 0,nop,wscale 5], length 0
19:50:13.154112 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264170873 ecr 0,nop,wscale 5], length 0
19:50:15.200444 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264172953 ecr 0,nop,wscale 5], length 0
19:50:15.200462 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [S], seq 903511018, win 64860, options [mss 1380,sackOK,TS val 1264172953 ecr 0,nop,wscale 5], length 0
19:50:15.267481 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [S.], seq 2375035090, ack 903511019, win 64296, options [mss 1380,sackOK,TS val 2913740948 ecr 1264172953,nop,wscale 4], length 0
19:50:15.267517 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [S.], seq 2375035090, ack 903511019, win 64296, options [mss 1380,sackOK,TS val 2913740948 ecr 1264172953,nop,wscale 4], length 0
19:50:15.690047 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [P.], seq 1:72, ack 1, win 2027, options [nop,nop,TS val 1264173443 ecr 2913740948], length 71: HTTP: GET / HTTP/1.1
19:50:15.690065 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [P.], seq 1:72, ack 1, win 2027, options [nop,nop,TS val 1264173443 ecr 2913740948], length 71: HTTP: GET / HTTP/1.1
19:50:15.758196 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [.], ack 72, win 4015, options [nop,nop,TS val 2913741436 ecr 1264173443], length 0
19:50:15.758215 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [.], ack 72, win 4015, options [nop,nop,TS val 2913741436 ecr 1264173443], length 0
19:50:15.758225 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 1:42, ack 72, win 4015, options [nop,nop,TS val 2913741437 ecr 1264173443], length 41: HTTP: HTTP/1.1 200 OK
19:50:15.758229 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 1:42, ack 72, win 4015, options [nop,nop,TS val 2913741437 ecr 1264173443], length 41: HTTP: HTTP/1.1 200 OK
19:50:15.809158 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 42, win 2026, options [nop,nop,TS val 1264173562 ecr 2913741437], length 0
19:50:15.809173 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 42, win 2026, options [nop,nop,TS val 1264173562 ecr 2913741437], length 0
19:50:15.894480 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 42:1061, ack 72, win 4015, options [nop,nop,TS val 2913741555 ecr 1264173562], length 1019: HTTP
19:50:15.894497 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [P.], seq 42:1061, ack 72, win 4015, options [nop,nop,TS val 2913741555 ecr 1264173562], length 1019: HTTP
19:50:15.946894 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1061, win 1995, options [nop,nop,TS val 1264173698 ecr 2913741555], length 0
19:50:15.946914 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1061, win 1995, options [nop,nop,TS val 1264173698 ecr 2913741555], length 0
19:50:15.946926 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [F.], seq 72, ack 1061, win 2006, options [nop,nop,TS val 1264173699 ecr 2913741555], length 0
19:50:15.946929 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [F.], seq 72, ack 1061, win 2006, options [nop,nop,TS val 1264173699 ecr 2913741555], length 0
19:50:16.017425 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [F.], seq 1061, ack 73, win 4015, options [nop,nop,TS val 2913741699 ecr 1264173699], length 0
19:50:16.017443 IP 10.7.0.2.http > 10.7.0.4.46862: Flags [F.], seq 1061, ack 73, win 4015, options [nop,nop,TS val 2913741699 ecr 1264173699], length 0
19:50:16.073545 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1062, win 2006, options [nop,nop,TS val 1264173821 ecr 2913741699], length 0
19:50:16.073559 IP 10.7.0.4.46862 > 10.7.0.2.http: Flags [.], ack 1062, win 2006, options [nop,nop,TS val 1264173821 ecr 2913741699], length 0
^C
26 packets captured
26 packets received by filter
0 packets dropped by kernel
root@yhhf-57gffvghytf:~#

из них вижу, что заголовок проходит, а дальше сам пакет уходит не туда

[Петровский]

Где не туда? Вы получили веб-страницу админки роутера

[sasha300]

Где не туда? Вы получили веб-страницу админки роутера

как бы да, но после этого окна:

через некоторе время выдает:

The connection has timed out

The server at 10.7.0.2 is taking too long to respond.

The site could be temporarily unavailable or too busy. Try again in a few moments.
If you are unable to load any pages, check your computer’s network connection.
If your computer or network is protected by a firewall or proxy, make sure that Firefox is permitted to access the web.

[Петровский]

Это другоэээ)

Админка Luci активно кешируется. У вас к ней вообще доступа нет, несмотря на иллюзию старта в браузере.

Смотрите tcpdump, отправляя запрос из локалки

[sasha300]

Админка Luci активно кешируется. У вас к ней вообще доступа нет,

прикольненько
завтра, на Ubuntu 22.04 поставлю Chrome и вырублю кэш и прочее, может даже appimage качну, чтобы не было гемора с историей

Смотрите tcpdump, отправляя запрос из локалки

Спасибо за вектор! Уже завтра вечером смогу дальше экспериментировать..

p.s.: не против, если в знак благодарности скину TONCoin, а то я бы не допер, что хешируется начальная страница и доступа к ротеру из другой локалке вобще нет..

[Петровский]

Кэш можно просто очистить или открыть гостевой профиль, но не надо appimage, браузера и кэша. Вы убедились, что трафик ходит за роутером нормально, маршрутизация есть. Теперь только узнать, куда уходит пакет из локалки, используйте tcpdump -i wg0 icmp и пингайте. Придётся посмотреть tcpdump и на роутере локалки, на нём интерфейс WG будет называться иначе, смотреть через ip a.

Также ранее обманул: на роутере OpenWRT AllowedIPs для пира должен стоять 10.7.0.0/24. Это нужно, чтобы при автоматическом создании маршрутов до VPS заруливался только этот трафик, а интернет шёл мимо VPS.

Дамп конфига

VPS pivpn

[Interface]
PrivateKey =
Address = 10.7.0.1/24
MTU = 1420

### begin Openwrt1 ###
[Peer]
PublicKey =
PresharedKey =
# Вторая сеть -- это локалка, куда маршрутизируются пакеты в моём случае. У вас MASQ, не нужно
AllowedIPs = 10.7.0.2/32, 192.168.2.0/24
### end Openwrt1 ###

Также надо поправить /etc/pivpn/wireguard/setupVars.conf для будуших клиентов, если надо:
pivpnPERSISTENTKEEPALIVE=25

Openwrt1

IP Adresses: 10.7.0.2/24
No Host Routes: не стоит
Advanced settings: Use default gateway: стоит
Peers - ваш пир:
Allowed IPs: 10.7.0.0/24
Route Allowed IPs: стоит
Persistent KeepAlive: 25 (важно, иначе будет отваливаться маршрутизация с обратной стороны)

У меня для простоты интерфейс WG помещён в группу LAN файрволла, поэтому проблем с маршрутизацией нет.

TON кину, когда решите, и когда разберусь, как это делается, спасибо) Сам долго разбирался, вот помог вам.

[sasha300]

Петровский,
Здравствуйте!

на роутере OpenWRT AllowedIPs для пира должен стоять 10.7.0.0/24

В вашем конфиге: AllowedIPs = 10.7.0.2/32, 192.168.2.0/24, у меня, для клиентского роутера, было так (причем 0.0.0.0/24 выставил я, чтобы трафик мог ходить куда угодно): AllowedIPs = 10.7.0.4/32, 0.0.0.0/24
Ну ок, поменял у всех пиров в глобальном конфиге значение, изменив с 0.0.0.0/24 на 10.7.0.0/24, получилось вот так:

[Interface]
Address = 10.7.0.1/24
PrivateKey = hide
ListenPort = hide

# BEGIN_PEER Mikrotik
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.2/32, 10.7.0.0/24
# END_PEER Mikrotik
# BEGIN_PEER smarfone
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.3/32, 10.7.0.0/24
# END_PEER smartphone
# BEGIN_PEER Xiaomi
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.4/32, 10.7.0.0/24
# END_PEER Xiaomi

используйте tcpdump -i wg0 icmp и пингайте

На роутере 10.7.0.4 запуситил tcpdump -i wg0 icmp
С компа из сети 192.168.0.0/24 набрал ping 10.7.0.2 пинги успешно идут.

На роутере 10.7.0.4 команда tcpdump -i wg0 icmp выдает:

root@homeOpenWRT:~# tcpdump -i wg0 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
05:10:39.909473 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 1, length 64
05:10:40.033296 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 1, length 64
05:10:40.910358 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 2, length 64
05:10:41.041817 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 2, length 64
05:10:41.911119 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 3, length 64
05:10:42.034044 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 3, length 64
05:10:42.911628 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 4, length 64
05:10:43.033493 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 4, length 64
05:10:43.909909 IP 10.7.0.4 > 10.7.0.2: ICMP echo request, id 2, seq 5, length 64
05:10:44.043529 IP 10.7.0.2 > 10.7.0.4: ICMP echo reply, id 2, seq 5, length 64

[sasha300]

Также ранее обманул: на роутере OpenWRT AllowedIPs для пира должен стоять 10.7.0.0/24. Это нужно, чтобы при автоматическом создании маршрутов до VPS заруливался только этот трафик, а интернет шёл мимо VPS.

Зашел на роутер 10.7.0.4, в настройках wireguard по пути /etc/config/network сл. настройки:

config wireguard_wg0
        option name 'wg0_client'
        option public_key 'hide'
        option preshared_key 'hide'
        option route_allowed_ips '0'
        option persistent_keepalive '25'
        option endpoint_host 'hide'
        option allowed_ips '0.0.0.0/0'
        option endpoint_port 'hide'

option allowed_ips '0.0.0.0/0' поменял на option allowed_ips '10.7.0.0/24'
На роутере 10.7.0.2 в /etc/config/network, было аналогично, тоже поменял на option allowed_ips '10.7.0.0/24'

[sasha300]

Ну и в конце на роутере 10.7.0.4 запустил: tcpdump -i wg0 tcp port 80
и из этой подсети с компа пробую из браузера подключиться в веб морде OpenWRT роутера 10.7.0.2 - безуспешно.

Вот что выдает tcpdump на роутере 10.7.0.4:

root@homeOpenWRT:~# tcpdump -i wg0 tcp port 80
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on wg0, link-type RAW (Raw IP), snapshot length 262144 bytes
05:33:42.589697 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [S], seq 1546777686, win 64240, options [mss 1380,sackOK,TS val 3923878255 ecr 0,nop,wscale 7], length 0
05:33:42.712193 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [S.], seq 64876336, ack 1546777687, win 64296, options [mss 1380,sackOK,TS val 4196599335 ecr 3923878255,nop,wscale 4], length 0
05:33:42.713386 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 1, win 502, options [nop,nop,TS val 3923878380 ecr 4196599335], length 0
05:33:42.713422 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [P.], seq 1:391, ack 1, win 502, options [nop,nop,TS val 3923878381 ecr 4196599335], length 390: HTTP: GET /cgi-bin/luci/ HTTP/1.1
05:33:42.843177 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [.], ack 391, win 4010, options [nop,nop,TS val 4196599470 ecr 3923878381], length 0
05:33:43.141650 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [P.], seq 1:77, ack 391, win 4010, options [nop,nop,TS val 4196599770 ecr 3923878381], length 76: HTTP: HTTP/1.1 403 Forbidden
05:33:43.169625 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923878837 ecr 4196599770], length 0
05:33:43.280318 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [P.], seq 2813:3210, ack 391, win 4010, options [nop,nop,TS val 4196599914 ecr 3923878837], length 397: HTTP
05:33:43.375813 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923879043 ecr 4196599770,nop,nop,sack 1 {2813:3210}], length 0
05:33:53.380778 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923889046 ecr 4196599770,nop,nop,sack 1 {2813:3210}], length 0
05:33:53.516997 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [.], ack 391, win 4010, options [nop,nop,TS val 4196610136 ecr 3923879043], length 0
05:34:03.169012 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [FP.], seq 3210:3215, ack 391, win 4010, options [nop,nop,TS val 4196619799 ecr 3923879043], length 5: HTTP
05:34:03.240257 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923898907 ecr 4196599770,nop,nop,sack 1 {2813:3216}], length 0
05:34:13.285034 IP 10.7.0.4.47506 > 10.7.0.2.80: Flags [.], ack 77, win 502, options [nop,nop,TS val 3923908950 ecr 4196599770,nop,nop,sack 1 {2813:3216}], length 0
05:34:13.419437 IP 10.7.0.2.80 > 10.7.0.4.47506: Flags [.], ack 391, win 4010, options [nop,nop,TS val 4196630057 ecr 3923898907], length 0
^C
15 packets captured
15 packets received by filter
0 packets dropped by kernel
root@homeOpenWRT:~#

Когда запрос пошел на порт 10.7.0.4.47506, то вылезает "Forbidden", хотя на роутере 10.7.0.2, для интерфейста wg, все цепочки выставлены на "Accept":

spoiler

[Петровский]

Пакеты это L3, а HTTP Forbidden это L7, т. е. вам уже веб-сервер отвечает., а не файрвол. Смотрите в логе роутера 0.2 (logread), почему 403.

Но чтобы не возиться с L7, отслеживайте именно пинги: tcpdump -i wg0 icmp, или ssh и tcp port 22.

> пинги успешно идут.
всё работает

Далее по ошибкам.

# BEGIN_PEER Mikrotik
[Peer]
PublicKey = hide
PresharedKey = hide
AllowedIPs = 10.7.0.2/32, 10.7.0.0/24

Так нельзя. Во-первых, маски перекрываются, во-вторых, с мастер-роутера должно быть только 10.7.0.2/32: потому что к нему с другой стороны будут приходить только такие адреса и никаких других. Правильно?

> В вашем конфиге: AllowedIPs = 10.7.0.2/32, 192.168.2.0/24
Здесь маски не перекрываются

> причем 0.0.0.0/24 выставил я, чтобы трафик мог ходить куда угодно
рядом с 0 должен быть /0, т. е. "0.0.0.0/0". Но "куда угодно" вам не нужно, не нужно весь трафик слать на VPS, который только используется для соединения сетей.

[sasha300]

Спасибо за ответ!

Но чтобы не возиться с L7, отслеживайте именно пинги: tcpdump -i wg0 icmp,

Так я сегодня утром пинговал и пинги успешно проходят. Заворачивается http, может лучше так сделать: tcpdump -i wg0 tcp port 80 ?

Так нельзя. Во-первых, маски перекрываются, во-вторых, с мастер-роутера должно быть только 10.7.0.2/32:

я уже это понял, когда инет отвалился)

Уже ближе к вечеру смогу продолжить эксперименты, сейчас, к сожалению, текучку надо делать..

[Петровский]

> Так я сегодня утром пинговал и пинги успешно проходят.
стало быть, всё работает. можно попробовать зайти через ssh, скорее всего успешно получится

> Заворачивается http, может лучше так сделать:
http не заворачивается, он также проходит. но уже внутри http вы имеете 403 — посмотрите в логе (ssh logread), почему uhttpd/luci отвечают вам 403.

[sasha300]

можно попробовать зайти через ssh, скорее всего успешно получится

успешно подключился по ssh к роутеру 10.7.0.2, находясь в сети 192.168.0.0/24 роутера 10.7.0.4

[Петровский]

Ну и какие у вас ещё вопросы?)

[sasha300]

Ну и какие у вас ещё вопросы?)

Получается, что доступ по ssh был изначально, а у меня не открывался веб интерфейс и думал, что к роутерам с противоположной локалки не подключиться.
Будем считать, что вопрос разобран, жду реквизиты, куда отправить Тон.
Я пока что буду разбираться, какого Luci не пускает меня на веб морду с другой локалки, при том, что с телефона, при включенном WG клиенте, подключение проходит успешно.

[Петровский]

Та вы пока пишите и спрашивайте. Фишка в том, что у меня то же самое, и хорошо бы вообще доку написать

Тон кидайте, хотя я не понимаю зачем он мне и как кинуть

В целом, у вас есть все инструменты, которыми вы можете пользоваться. Там, там, там

[sasha300]

хотя я не понимаю зачем он мне и как кинуть

в профиле просьба указать ник Telegram, по никнейму можно перевести.
Можно оплачивать провайдеров, VDS и т.п., в крайнем случае перевести в рубли

[Петровский]

Ники нет и не будет, полотно вот это есть

[Петровский]

К тому же вы не решили проблему

[sasha300]

Походу я обломался - запустил по ssh logread, смотрю, сеанс завис, открыл новую сессию, запускаю top - снова завис. А после reboot-a не могу подрубиться ни с локалки, ни с телефона.
Завтра на работе уже посмотрю, что там с роутером случилось..

[Петровский]

Ну вы такой человек)

Пишите, помогу, у меня ровно такой же конфиг

[Петровский]

Где мой тон?

[sasha300]

Где мой тон?

У Вас в профиле написано: пользователь ничего не рассказал о себе, а мне нужен никнейм телеги.
В разделе: Контакты => Telegram. К примеру, у меня так: https://telegram.me/sasha300
Ну или тут укажите логин Телеграм.

[sasha300]

@figachit
Здравствуйте! Так Вы напишите ник телеги? А то мне уже пару человек написало, представившись вами..

Answer 2

[Drno]

настроить на роутерах маршрутизацию и фаерволл

Answer 3

[check197]

фаервол выключите на всех роутерах и посмотрите, и маршруты на каждом из роутеров добавьте до соседней сети через wg интерфейс

Comments

[sasha300]

фаервол выключите на всех роутерах

у меня фаеврол для WG выключены на обоих роутерах

и маршруты на каждом из роутеров добавьте до соседней сети через wg интерфейс

т.е. на OpenWRT прописать маршрут до другой локалки, и в качестве интерфейса выбрать WireGuard
Если так, то находясь в локалке 192.168.1.0/24 зашел на роутер (10.7.0.2): в Network => Routing

в Target прописать сеть второй локалки: 192.168.0.0/24, а в Gateway ip сервера WireGuard: 10.7.0.1 ?
Ну и в другой локалки аналогично, только Target - 192.168.1.0/24 ?

[check197]

target 192.168.0.0/24 gw 10.7.0.4
и на втором наоборот
И в конфиге wg разрешенные подсети посмотрите чтобы были 192.168.0.0/16

[Петровский]

Маршруты для WG добавляются автоматически на основании AllowedIPs, если не настроить иное. У вас для WG осуществляется маскарадинг, поэтому прописывать маршруты до локальных сетей не нужно.