Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: nicon 06. 06. 2025, 18:57:42
-
Ahoj, chci se zeptat kde dělám chybu. Mám VPS, které si platím s veřejnou IP a na něm Wireguard. Doma mám modem se SIM a do něj napojen ASUS router kde běží Wireguard klient. Na vnitřní LAN doma se z venku dostanu, jediné co mi nefunguje je, že se z venku nedostanu na ten modem se SIM. Modem má 192.168.2.1 a ASUS router napojen do něho má 192.168.1.1. Modem je napojeny do WAN Asus routeru a vnitřní WAN Asus routeru mám 192.168.2.199 a výchozí bránu nastavenou na ten modem tj. 192.168.2.1. Na tu WAN Asusu 192.168.2.199 se ještě dostanu, ale na ten modem 192.168.2.1 už ne. Firewall jsem zkoušel všude vypnout a nic. Přes traceroute když dám vnitřní LAN tak v pohodě mi to jde přes VPS kde je Wireguard, pak do ASUS routeru kde je WG klient a pak přímo na PC ve vnitřní LAN, ale když dám ten modem tak to skonční na WG v routeru a pak už neví kam.
WG SERVER na VPS:
[Interface]
Address = 10.100.100.1/24
SaveConfig = true
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enx5 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enx5 -j MASQUERADE
ListenPort = .....
FwMark = 0xca6c
PrivateKey = .........
[Peer]
PublicKey = ....
AllowedIPs = 10.100.100.2/32, 192.168.1.0/24, 192.168.2.0/24
Endpoint =.......
[Peer]
PublicKey = .....
AllowedIPs = 10.100.100.3/32
Endpoint = ......
WG klient na ASUS routeru:
[Interface]
PrivateKey = ......
Address = 10.100.100.2/24
[Peer]
PublicKey = ......
AllowedIPs = 10.100.100.0/24
Endpoint = ......
PersistentKeepalive = 21
WG klient na mobilu:
[Interface]
PrivateKey = ......
Address = 10.100.100.3/24
[Peer]
PublicKey =.....
AllowedIPs = 10.100.100.0/24,192.168.1.0/24
Endpoint = .......
PersistentKeepalive = 21
-
To by ten WireGuard Klient musel běžet přímo na LTE modemu, aby ses dostal na jeho webové rozhraní. Případně použít LTE modem, který má možnost správy přes cloud (typicky TP-Link a appka Tether).
-
Ja jsem myslel,ze me tam chybi nejaka routa. Kdyz jsem klasicky na wifi toho routeru,tak se tam na modem v pohode dostanu. A z venku se dostanu az na tu ip na WANu routeru 192.168.2.199 tam me ping funguje, ale dal na ten modem kde je 192.168.2.1 uz ne. Skoda myslel jsem ze to bude vse fungovat jako bych byl na vnitrni LAN
-
Takový setup mám já. Je nutné mimo jiné( na VPS routa na vnitřní síť a pravidla iptables FORWARD pro každý směr na VPS a modemu a asi i obvyklé je mít speciální síť mezi VPS a routerem například 10.0.0.1 peer 10.0.0.2/24 a obráceně ip addr add 10.0.0.2 peer 10.0.0.1/24 a ještě je nutné mít u allowed-ips na straně modemu 0.0.0.0/1 a 128.0.0.0/1 aby modem-wireguard akceptoval pakety z wg rozhraní z src ip z divokého internetu)
mít port forwarding na VPS jinak VPS nemá důvod směrovat provoz na router nebo síť za routerem :
iptables -A PREROUTING -p tcp -m tcp --dport x25x -j DNAT --to-destination 10.0.0.1:8025
....(nebo máš snad snad na VPS blok IP adres nebo IPv6?) pak není nutné dělat tu šaškárnu s port forwardingem , ale něco čistšího (mám okno, snad někdo poradí co to bude: source routing, DNAT bez uvedení portu nebo co )?
hint 1: iptables -A POSTROUTING -o wg -j TTL --ttl-dec 1 - uvidíš hopy navíc(nevím zda to patří na vps nebo router) - není nutné pro funkčnost, ale pro výpis hintu 2
hint2 : zkus sudo traceroute -T --port=xyz poté co si přidáš port forwarding na port xyz na router a potom port forwarding na zařízení v vnitřní síti
hint 3: ještě se hodí iptables -j TCPMSS, ne vždy se funguje PMTU mechanismus (typicky, když forwarduješ právě na server v své síti - to zařízení si u TCP odpovědi hodí plné MTU, netuší, že paketu půjde tunelem)
-
Ted nevim jestli rozumim. Modem WG klienta nema je jen napojeny fo routeru .Z mobilu se dostanu na vsechny zarizeni ve vnitrni siti 192.168.1.0/24. Nedostanu se jen na ten modem 192.168.2.1.
-
Aké máš asi moznosti:
1. Vymeniť zariadenie (modem so SIM-kou) za niečo,čo vie wireguard
2. Prihlasovať sa na rozhranie modemu z lokalky.Cez tunel WG sa pripojíš na zariadenie pomocou napr. RDP/telnet/ssh za Asus routrom ( podsiet 192.168.1.0/24) a následne sa prihlásiš na rozhranie modemu (web,ssh)
Ak máš za Asusom zariadenie s ssh službou,tak je to jeden príkaz
3.osobne si myslím,že tvoja požiadavka cez WG na ten modem príde,ale ju už neodosiela spätne na WAN internterfejs na Asus router.Da sa to urobiť,ale potrebuješ mat ako modem zariadenie s RouterOS/Openwrt a pod.
-
Aha, tomu rozumim,jsem se s tim mordoval zbytecne, moc dekuji👍
-
Takové hloupé otázky: Proč není modem přímo v 192.168.1.0/24 (asi by se tím celá věc zjednodušila)? Kdo dělá firewall/NAT do internetu - modem nebo ASUS? Je možné na modemu a ASUSu přidávat statické routy? Ze strojů přímo v 192.168.1.0/24 se na ten modem lze dostat?
-
Staticke routy lze na Asus routeru pridat. Na modemu nikoliv. Modem mi nesel dat na 192.168.1.0/24 nerozbehal jsem pak internet ikdyz jsem na wan portu asusu vypnul natovani tak to nefungovalo.. Nat je na Wan portu Asusu a pak je nat na modemu do internetu. Firewall mam zapnuty jak na modemu tak i asusu, ale ikdyz je oba vypnu nic se nezmeni co se tyka pristupu na modem pres WG. Jinak z vnitrni site napr. z pc 192.168.1.100 se v pohode dostanu na modem 192.168.2.1
-
No osobně mi není jasné, jak ten modem ví, že 192.168.1.0/24 má posílat na ASUS, když tam není statická routa. Pomohly by nějaké detaily z nastavení obou krabiček - výpisy/schreenshoty a jejich konkrétní typ ... asi tam budou nějaké podivnosti, když to nešlo všechno v jednom subnetu a musel se přidat další.
-
Pokud budem předpokládat že allowed IPs a Firewall máte v pořádku tam tam chybí pouze statická routa pro modem tj. 192.168.2.1.
Prostě z wireguardu (remote) dorazí požadavek na IP modemu, ten je zpracuje a odešle zpět, ale router už netuší kam tu odpověd z modemu poslat. Přídejte routu 192.168.2.1 na bránu wireguardu routeru (případně směrovat na VPS kdyby to nešlo).
Toto bude nejpravděpodobnější problém
-
Kdyz dam na wan portu modem kteremu dam 192.168.1.2 a vypnu nebo zapnu na wan portu NAT tak se na modem nedostanu z routeru ktery ma 192.168.1.1, ale kdyz zapojim modem do lan portu routeru tak se na modem dostanu,ale nejde samozrejme internet. Jeste me napadlo zda ho teda nenechat na lan portu a dopsat nejak do statistickeho dmerovani ze ma pouzivat jako branu ten modem 192.168.1.2, ale nedari se mi to. Mam tam moznosti Sitova/hostitelska IP pak maska site, brana,metric a rozhraní kde mam na vyber lan,man,wan,vpn
-
No osobně mi není jasné, jak ten modem ví, že 192.168.1.0/24 má posílat na ASUS, když tam není statická routa.
Modem to řešit nemusí, protože ten provoz stejně bude (měl by být) zanatovaný tím Asusem.
Pro tazatele:
Mohl bys sem poslat výpisy routovacích tabulek (ip route show) z Asusu a různých klientů?
Na Asusu ti běží tovární firmware, nebo tam máš OpenWrt? Jde se do něj přihlásit a spustit tam tcpdump?
-
Zkousel jsem staticke smerovani dat na asus na branu 192.168.1.2 (modem nove) a na Sitova/hostitelska IP 192.168.1.1 (asus) a internet nejde. Tak jsem to vratil vse na puvodni tzn do wanu a ip zpatky modemu na 192.168.2.1 a zkusil jsem jeste ve WG Asusu dat smerovani 192.168.1.0/24 na 192.168.2.0/24 a stale nic. Paket se zastavi na IP WAN Asusu ktery je zpatky nastaveny na 192.168.2.199
-
Na Asusu mam Merlina to je myslim na bazi openwrt, jak budu doma zkusim ten tcpdump a hodim ty vypisy
-
Tak tady je výpis z ip route show
default via 192.168.2.1 dev eth4
1.0.0.1 via 192.168.2.1 dev eth4 metric 1
1.1.1.1 via 192.168.2.1 dev eth4 metric 1
10.100.100.0/24 dev wgc5 proto kernel scope link src 10.100.100.2
127.0.0.0/8 dev lo scope link
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
192.168.2.0/24 dev eth4 proto kernel scope link src 192.168.2.199
192.168.2.1 dev eth4 proto kernel scope link
-
Je to výpis z ASUS routeru, jinak TCPDUMP na něm spustit můžu
-
A tady je výpis ip route show z modemu
default via 10.64.64.1 dev eth_x
10.64.64.1 dev eth_x scope link
169.0.0.0/8 dev br0 proto kernel scope link src 169.254.100.156
192.168.2.0/24 dev br0 proto kernel scope link src 192.168.2.1
-
zde je výpis z tcpdump když jsem zkoušel ping z venku na modem 192.168.2.1. IP VPS jsem nahradil - VPS server.
20:14:16.525132 STP 802.1d, Config, Flags [none], bridge-id 8000.e4:34:93:ba:a6:a1.8003, length 35
20:14:16.655123 ARP, Request who-has 192.168.2.199 tell 192.168.2.1, length 46
20:14:16.655164 ARP, Reply 192.168.2.199 is-at 24:4b:fe:c1:e4:20 (oui Unknown), length 28
20:14:17.040497 IP VPS server > 192.168.2.199.51961: UDP, length 128
20:14:17.117386 IP 192.168.2.199.51961 > VPS Server: UDP, length 32
20:14:18.066502 IP VPS server > 192.168.2.199.51961: UDP, length 128
20:14:18.525140 STP 802.1d, Config, Flags [none], bridge-id 8000.e4:34:93:ba:a6:a1.8003, length 35
20:14:19.051476 IP VPS server > 192.168.2.199.51961: UDP, length 128
20:14:20.065509 IP VPS server > 192.168.2.199.51961: UDP, length 128
-
ještě je tam tohle
20:14:14.548303 IP 192.168.2.199.35956 > static.127.132.203.116.clients.your-server.de.18000: Flags [P.], seq 21:25, ack 21, win 547, length 4
20:14:14.612700 IP 192.168.2.199.35956 > static.127.132.203.116.clients.your-server.de.18000: Flags [.], ack 25, win 547, length 0
20:14:09.869255 ARP, Request who-has 192.168.2.1 tell 192.168.2.199, length 28
20:14:09.869869 ARP, Reply 192.168.2.1 is-at e4:34:93:ba:a6:a1 (oui Unknown), length 46
-
Přes ARP protokol jde na VPS server kde mi běží WG Server odpověď na dotaz když pinguju z mobilu kde je 192.168.2.1 mu vráti, že je na mac adrese modemu,mac adresa modemu je správná,ale nejsem síťař, tak nevím jak s těmi informacemi naložit.
-
Na tom ASUS routeru nevidím záznam v routovací tabulce pro WG síť.
Ten tcpdump spusť jako "tcpdump -i eth4 icmp" a pak z třeba mobilního zařízení zkus ping na modem.
-
na Asus routeru je tam tohle,firewall vypnuty na modemu, na routeru i na VPS, ping z mobilu s WG klientem na 192.168.2.1:
19:13:18.898510 IP 192.168.2.199 > one.one.one.one: ICMP 192.168.2.199 udp port 48675 unreachable, length 210
19:13:39.939800 IP 192.168.2.199 > one.one.one.one: ICMP 192.168.2.199 udp port 24053 unreachable, length 194
19:14:09.149235 IP 192.168.2.199 > one.one.one.one: ICMP 192.168.2.199 udp port 44670 unreachable, length 89
-
zde je výpis na routeru na wireguard rozhraní,když pinguju z mobilu (10.100.100.3),= tcpdump - i wgc5 icmp
19:55:07.586048 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3429, seq 1 , length 64
19:55:08.587956 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3430, seq 1 , length 64
19:55:09.569112 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3431, seq 1 , length 64
19:55:10.607044 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3432, seq 1 , length 64
-
Je mozne v modeme pozriet nejake logy, nieco kde by bolo vidiet ci ten ping vobec dorazil? (ak ano a ping nedorazil router asus to tam vobec neposiela) a ak dorazil ci nema adresu zo siete WG (10.100.100.0/24)? Potom tu WG komunikaciu na ASUS routri neNATujes a ten modem tupa-soho krabicka jednoducho posle odpoved na GW od ISP, kedze tu siet WG nepozna... je mozne v tom modeme nastavit routovanie? A tym mu povedat o sieti WG? Ak ma modem viac LAN portov pripoj tam dalsie zariadenie a otestuj komunikaciu nan z WG siete, aby si sa niekam posunul...
-
Bohuzel zadne takove logy modem nema, zkousel jsem do jeho Lan portu pripojit jiny router a chova se to stejne z vnitrni Lan ho pingnu,ale z vnejsku pres WG ne. Jinak pres telnet se do modemu z vnitrni lan dostanu ip route show funguje, zda pridat routu pres prikaz nevim, max muzu pak doma vyzkouset nejaky prikaz na pridani routy a tcpdump tam neni a ani doinstalovat nejde.
Jinak pokud druhy router zapojim do Lan Asus routeru a dam mu ip z rozsahu asusu napr 192.168.1.3 tak se na neho v pohode z venku pres WG dostanu
-
Co to tedy udělat celé od začátku.
1) Na modemu (zatím nepadlo co to je za model) nastavte statickou IP 192.168.1.1 a na routeru Asus dejte 192.168.1.10
2) Na modemu dejte přidejte statickou IP pro Asus 192.168.1.10 a dejte do DMZ (tím bude ignorovaný firewall), dále vypněte veškeré filtry provozu, pak nastavte bridge/IP passtrough aby se na něm vypnul NAT a celý provoz končil na WAN routeru Asus.
Takto to bude na stejném rozsahu a bude to muset fungovat.
Sám mám na venkovních jednotkách jiný rozsah a WG funguje na pohodu ale musel jsem přidat routy aby se provoz vracel zpět do WG. Pokud se to stále nedaří začal bych od začátku a vyzkoušel například tuto alternativu. Jinak jak jsem psal předtím. Stačilo pouze přidat routy MODEMu zpět do WG a hotovo.
-
Diky,vyzkousim,jinak mam Huawei b525-a23 modem, mam tam flesnutou nejaky alternativni firmware,ktery mu pridal moznost bridge. To uz jsem mimo jine teda taky zkousel dat ho do bridge, asusu dat na wan automatickou ip tu dostal od isp ale na modem jsem se z wg nedostal. Myslim,ze zakopany pes bude v tom modemu a tim,ze neumi vratit odpoved jak jsi psals zpet do wg asusu. Otazka zda mu pujde pridat routu pres telnet neb v menu to nejde
-
Nemuzete mi prosim nekdo napsat spravny prikaz na pridani routy pro muj pripad at uz kdyz ma modem 192.168.2.1 tak kdyz pak zkusim i 192.168.1.10,diky, zkusim to modemu dat pres ten telnet rucne
-
Marně přemýšlím, k čemu celá ta snaha se vzdáleně dostat do modemu vlastně je, když je ten modem v bridge... A pokud náhodou tuhne a je potřeba restart na dálku, tak to by stejně vzdálený přístup nevyřešil (spíš nějaké GSM/LTE spínací hodiny, co ten modem odpojí na chvíli od napájení).
-
Ano,mas pravdu,je to spis takovy osobni boj a snaha zvitezit aby to fungovalo a dobry pocit😁. Jinak samozrejme muzu si vzdalene pustit treba pc doma a pres RDP se divat na modem, jen proste se snazim aby to fungovalo vse pres WG.Ale taky je fakt,ze obcas je zreba modem restartovat jelikoz pada rychlost a po restartu beha opet na plnou rychlost internet.
-
Víte co ještě zkuste, na VPS dejte rouru 192.168.2.1 -> 10.100.100.2
- 192.168.2.1. - je IP modemu
- 10.100.100.2 - je IP wireguardu na Asus routeru
Na mobilu je to nesmírně nepřehledné takže snad jsem napsal ty zařízení správně. V Asus routeru toto nezadavejte, pouze na straně vps.
-
Na VPS mam v peeru toho asus routeru tzn 10.100.100.2 mimojine tohle:
AllowedIPs = 10.100.100.2/32,192.168.1.0/24, 192.168.2.0/24
-
Jak tam tu routu presne dat a kam? Do toho peeru nebo do interface? A jak presne by mela vypadat. Zarizeni mate spravne Dekuji
-
Takhle do interfacu?
PostUp = ip route add 192.168.2.0/24 dev wg0
PostDown = ip route del 192.168.2.0/24 dev wg0
Nebo
PostUp = ip route add 192.168.2.1/32 dev wg0
PostDown = ip route del 192.168.2.1/32 dev wg0
-
Ve vypisu na vps ale mam dle ip route
192.168.2.0/24 dev wg0 scope link
-
Nechci nic říkat, ale v konfiguráku pro mobilního klienta ti chybí v AllowedIPs rozsah pro adresu modemu. Nebude to tím?
-
Já to přebírám ze svého nastavení ale na Mikrotiku (MK) který mám na své veřejné takže návod 1:1 to není.
U allowed IP bych změnil na 192.168.2.1/32 - ale dal bych to na oba wireguardy (Asus i VPS, upravite až jak začne fungovat)
Tady dále je pouze "Routes" u MK takže použijte podobnou funkci routy u vašeho VPS.
Ten 192.168.2.1 - je cílová adresa ("dst. Address" u MK)
10.100.100.2 - je brána WG ("gateway" u MK)
Peer a interface (obdoba u MK) vůbec neměníme když už vám wireguard funguje.
To je vše, pouze směrujete provoz této IP zpět do wireguardu na Asus routeru.
-
Ted nevim kde myslis v konfiguraku mobilniho klienta. Na VPS serveru mam v peeru ktery patri asusu v allowed 10.100.100.2/32, 192.168.1.0/24,192.168.2.0/24 a na mobilu mam ve wg klientovi v allowed 10.100.100.0/24, 192.168.1.0/24, 192.168.2.0/24 a v asus routeru mam v allowed 10.100.100.0/24, 192.168.2.0/24 tady jsem zkousel nechat i jen 10.100.100.0/24 ale vysledek stejny pri trasovani to jde 10.100.100.1(VPS) 10.100.100.2 (asus) ......a nic , pokud trasuju treba pc ve vnitrni lan tak to pak jeste pokracuje 192.168.1.100 napr. Ale u 192.168.2.1 to skonci na asusu a dal uz se pakety zrraceji
-
Můžeš sem poslat výstup iptables z Asus?
iptables-save -t nat
nebo
iptables -t nat -nvL
A zkus ten výstup v odpovědi líp naformátovat třeba code tagem.
-
*nat
:PREROUTING ACCEPT [341:41835]
:INPUT ACCEPT [169:11155]
:OUTPUT ACCEPT [105:9249]
:POSTROUTING ACCEPT [98:7605]
:DNSFILTER - [0:0]
:DNSVPN10 - [0:0]
:GAME_VSERVER - [0:0]
:LOCALSRV - [0:0]
:MAPE - [0:0]
:PCREDIRECT - [0:0]
:PUPNP - [0:0]
:VSERVER - [0:0]
:VUPNP - [0:0]
-A PREROUTING -p tcp -m tcp --dport 53 -j DNSVPN10
-A PREROUTING -p udp -m udp --dport 53 -j DNSVPN10
-A PREROUTING -d 192.168.2.199/32 -j GAME_VSERVER
-A PREROUTING -d 192.168.2.199/32 -j VSERVER
-A POSTROUTING ! -s 10.100.100.2/32 -o wgc5 -j MASQUERADE
-A POSTROUTING -o eth4 -j PUPNP
-A POSTROUTING ! -s 192.168.2.199/32 -o eth4 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.1.0/24 -o br0 -j MASQUERADE
-A VSERVER -j VUPNP
COMMIT
# Completed on Mon Jun 9 19:38:45 2025
-
iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 502 packets, 64766 bytes)
pkts bytes target prot opt in out source destination
0 0 DNSVPN10 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
91 6221 DNSVPN10 udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 420 GAME_VSERVER all -- * * 0.0.0.0/0 192.168.2.199
5 420 VSERVER all -- * * 0.0.0.0/0 192.168.2.199
Chain INPUT (policy ACCEPT 259 packets, 16965 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 152 packets, 13137 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 144 packets, 11389 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * wgc5 !10.100.100.2 0.0.0.0/0
237 25240 PUPNP all -- * eth4 0.0.0.0/0 0.0.0.0/0
98 15461 MASQUERADE all -- * eth4 !192.168.2.199 0.0.0.0/0
8 1748 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24
Chain DNSFILTER (0 references)
pkts bytes target prot opt in out source destination
Chain DNSVPN10 (2 references)
pkts bytes target prot opt in out source destination
Chain GAME_VSERVER (1 references)
pkts bytes target prot opt in out source destination
Chain LOCALSRV (0 references)
pkts bytes target prot opt in out source destination
Chain MAPE (0 references)
pkts bytes target prot opt in out source destination
Chain PCREDIRECT (0 references)
pkts bytes target prot opt in out source destination
Chain PUPNP (1 references)
pkts bytes target prot opt in out source destination
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
5 420 VUPNP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain VUPNP (1 references)
pkts bytes target prot opt in out source destination
-
ip route modemu:
default via 10.64.64.1 dev eth_x
10.64.64.1 dev eth_x scope link
192.168.2.0/24 dev br0 proto kernel scope link src 192.168.2.1
-
jinak v lokalni lan z modemu nepingnu 192.168.1.1, funguje jen ping na 192.168.2.199 což je na wanu Asusu
-
zkouším ip route add 192.168.1.0/24 via 192.168.2.1 nebo via 192.168.2.199. Nebo i ip route add 192.168.1.0/24 dev br0 nebo eth_x, vše se zapíše ale stále nemůžu pingnout y modemu 192.168.1.1 (asus router).
-
Problém je, že modem má pouze routu pro svoji lokální síť 192.168.2.0/24, která je dostupná přes bridge rozhraní (LAN porty modemu) a pak už má jen výchozí routu, která je směřovaná přes LTE síť. Jinak řečeno, modem ví jen o adresách ze sítě 192.168.2.0/24 a ví, že tyto adresy jsou dostupné přes jeho LAN a všechny oststní adresy posílá přes LTE rozhraní pryč.
Pokud posíláš z venku přes VPN (zdrojová IP je ze sítě 10.100.100.0/24) packet na adresu modemu (192.168.2.1), tak ASUS ví, kam ho má poslat, protože jde do přímo připojené sítě. Na modem se packet dostane. Problém je ale na modemu, te totiž neví, kde síť 10.100.100.0/24 je, nemá pro ni ve své routovací tsbulce specifuikou routu, proto použije výchozí routu a pošle ji skrze LTE síť, kde je packet s největší pravděpodobností zahozen.
Proč to funguje z lokální sítě ASUS routeru 192.168.1.0/24, když ani tu nemá Huawei ve směrovací tabulce? Protože se NATuje. Packety ze sítě 192.168.1.0/24, které jdou přes WAN se překládají na zdrojovou IP 192.168.2.199 (WAN ASUS) a tuto IP modem zná a ví, že cesta k ní je přes jeho vlastní LAN interface.
Jaké je řešení?
1) Buď do nodemu přidat statickou routu 10.100.100.0/24 přes 192.168.2.199. (A pak ještě asi bude potřeba upravit FW pravidla, aby tento příchozí provoz nezahazoval nebo ideálně, nachat dělat NAT jen modem a na ASUS mít jen WireGuarda)
2) Alternativně na ASUS nastavit, aby se NAToval i provoz z 10.100.100.0/24, který jde na 192.168.2.0/24. Pro modem se bude tento rozsah skrývat za adresou 192.168.2.199 a tu zná.
-
Omluva za překlepy, psal jsem z mobilu a opravovat se mi to už nechce. :/
-
Moc dekuji, jak to pises dava mi to vse smysl. Jinak jsem ted zkousel do modemu dat routu pres ip route add 10.100.100.0/24 via 192.168.2.199. Routa se pridala,firewally modemu i routeru vypnute a stale nic :'(. Nemel bych zacit tim ze se z modemu nepingnu do site 192.168.1.0/24? Nejdal se dopingnu na 192.168.2.199. Zkousel jsem modemu dat routu 192.168.1.0/24 via 192.168.2.199 nebo i 2.1 ale proste nepingnu sit 192.168.1.0/24 pritom modem je pripojen naprimo s routerem, uz fakt nevim.
-
Kdyz ted pominu uplne VPN tak mi to pripada,kdyz se v lokale pingujun z modemu na asus router,jelikoz se dopingnu jen na 192.168.2.199 coz je WAN port asus routeru,tak dal to asus neumi prenatovat zpet vlastne z druhe strany do sve podsite 192.168.1.0/24
-
Pokud má modem routu na 192.168.1.0/24 a stejně to nejde, tak asi bude problém na ASUS routeru. Lze na modemu spustit traceroute? Lze na ASUS zapnout log firewallu?
Ještě bych zkusil nastavit NAT i pro síť 10.100.100.0/24. Pak by měl začít fungovat přístup z VPN na modem.
Není možné vypnout na ASUS NAT?
Nebo dát fyzické porty do bridge a routovat jenom mezi LAN a WireGuardem?
-
Modemu jsem dal routu s branou 192.168.2.199 do 192.168.1.0/24. Traceroute na modemu jde,ale bezvysledne hned prvni hop mam hvezdicky,takze nic. Logovat firewall na asusu i presto ze mam firewall na asusu vypnuty? Natovani na wan portu na Asusu vypnout lze, zkousel jsem dat modemu ip ze site 192.168.1.0/24 ale kdyz jsem ho nechal ve wanu,tak tam byl problem,ze jsem se bud nedostal do modemu nebo nesel net ted uz nevim,ale jeste znova tento setup doma pak vyzkousim.
Samozrejme kdyz jsem dal modem do lanu Asusu tak vse v pohode az na to ze samozrejme nesel net.
Jak to myslis nastavit NAT i pro síť 10.100.100.0/2 kde a jak?
Modem jsem v bridge mel s tim ze venkovni ip adresa od ips byla na wanu asusu vse fungovalo,ale stejne jsem se pres wireguard na modem nedostal. Ping jsem z vnitrni LAN z modemu na asus tenkrat nezkousel. Ale mam dojem,ze pokud jsem dal modemu v bridgu ip ze 192.168.1.0/24 tak to cele nefungovalo,musel jsem nechat natovat asus a modemu dat 192.168.2.1.
Jinak jeste koukam v nastaveni routeru je v zalozce WAN pruchod nat mam jednu vec zakazanou jestli to muze mit vliv a t PPPoE relay?
-
Tak jsem zkusil uz asi uplne vse a proste to nefunguje. Zkousel jsem modemu dat 192.168.1.3 pak ho dat do bridge a na asusu vypnout natovani na WANu, pak mu nastavit na WANu automatickou ip a asus rve ze internet nefunguje neb dhcp poskytovatele asi nefunguje. Pokud dam modemu 192.168.2.1 dam ho do bridge na asusu necham natovat WAN a dam automatickou ip pak je vse v poradku a asus dostane vnejsi IP poskytovatele,ale jinak jsem na tom s pristupem z WG na modem nebo ping z vnitrni LAN z modemu na asus router stale stejne a nefunguje to. Je to fakt zvlastni. Kdyz dam modemu 192.168.1.3 a pripojim ho na WAN a tomu vypnu NAT tak nic nefunguje. Pokud modem zapojim do LAN routeru pak se na modem dostanu,ale zase nejde internet ikdyz dam vylozene asus routeru routu na primo modem 192.268.1.3. Takze jedina moznost na co jsem prisel jak se z venku dostat na modem je pres WG a ssh se prihlasim na asus router a od tama se telnetnu na modem a tam pak pripadne muzu dat reboot modemu z prikazove radky. Nebo druha moznost se mi podarilo routnout modem s tim,ze by tam melo jit doinstalovat WG klienta a napijit tak modem primo do WG. Ale stale me mrzi ,ze jsem to nerozbehal viz vyse
-
Soustředil bych se na ten nejméně pracný způsob a nastavil NAT i pro síť 10.100.100.0/24. Jak máš nyní NAT nastavený?
iptables -t nat -L -v -n
-
Standardne SOHO routre maju jedno rozhranie (WAN) do internetu a 4 pre lokalnu siet (LAN). Na strane WAN je prevazne dhcp client/pppoe client, ktory ziskava ip adresu z nadradeneho zariadenia (prevazne ISP), firewall, nat, a pod. Na strane LAN su poskytovane sluzby dhcp server, lokalny dns preklad, a pod. Si spominal, ze ked pripojis modem do LAN casti a nastavis Asusu ip adresu 192.168.1.3 alebo 192.168.1.10 tak sa na modem cez WG dostanes. Jedine co potrebujes je nastavit dhcp server s podsietou 192.168.1.0/24 a poolom napr. 192.168.1.100-200, gw 192.168.1.1, dns 8.8.8.8. Na sieti moze byt iba jeden dhcp server. Ak vie pridelovat modem adresy cez dhcp tak ho nastav na modeme, ak nie tak na Asuse. Ak ho budes nastavovat na Asus-e, je potrebne aby dhcp server oznamoval defaltnu gw modemu (192.168.1.1) a nie adresu Asusu (192.168.1.3 alebo 192.168.1.10), inac by to nefungovalo.
Teoreticky si to vies otestovat tak, ze ak urobis vyssie spomenute zatial bez dhcp servera, nastavis staticku ip adresu na nejakom zariadeni na napr. 192.168.1.15/24 a defaltnu gw 192.168.1.1, dns 8.8.8.8, tak by sa ti mal rozbehnut internet a tiez by si mal vediet pristupovat na dane zariadenie cez WG.
-
Výpis iptables z Asus routeru:
iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 421 packets, 76807 bytes)
pkts bytes target prot opt in out source destination
0 0 GAME_VSERVER all -- * * 0.0.0.0/0 192.168.2.199
0 0 VSERVER all -- * * 0.0.0.0/0 192.168.2.199
Chain INPUT (policy ACCEPT 180 packets, 11168 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 118 packets, 8676 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 115 packets, 8364 bytes)
pkts bytes target prot opt in out source destination
211 41279 PUPNP all -- * eth4 0.0.0.0/0 0.0.0.0/0
99 33845 MASQUERADE all -- * eth4 !192.168.2.199 0.0.0.0/0
3 312 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24
Chain DNSFILTER (0 references)
pkts bytes target prot opt in out source destination
Chain GAME_VSERVER (1 references)
pkts bytes target prot opt in out source destination
Chain LOCALSRV (0 references)
pkts bytes target prot opt in out source destination
Chain MAPE (0 references)
pkts bytes target prot opt in out source destination
Chain PCREDIRECT (0 references)
pkts bytes target prot opt in out source destination
Chain PUPNP (1 references)
pkts bytes target prot opt in out source destination
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
0 0 VUPNP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain VUPNP (1 references)
pkts bytes target prot opt in out source destination
-
Standardne SOHO routre maju jedno rozhranie (WAN) do internetu a 4 pre lokalnu siet (LAN). Na strane WAN je prevazne dhcp client/pppoe client, ktory ziskava ip adresu z nadradeneho zariadenia (prevazne ISP), firewall, nat, a pod. Na strane LAN su poskytovane sluzby dhcp server, lokalny dns preklad, a pod. Si spominal, ze ked pripojis modem do LAN casti a nastavis Asusu ip adresu 192.168.1.3 alebo 192.168.1.10 tak sa na modem cez WG dostanes. Jedine co potrebujes je nastavit dhcp server s podsietou 192.168.1.0/24 a poolom napr. 192.168.1.100-200, gw 192.168.1.1, dns 8.8.8.8. Na sieti moze byt iba jeden dhcp server. Ak vie pridelovat modem adresy cez dhcp tak ho nastav na modeme, ak nie tak na Asuse. Ak ho budes nastavovat na Asus-e, je potrebne aby dhcp server oznamoval defaltnu gw modemu (192.168.1.1) a nie adresu Asusu (192.168.1.3 alebo 192.168.1.10), inac by to nefungovalo.
Teoreticky si to vies otestovat tak, ze ak urobis vyssie spomenute zatial bez dhcp servera, nastavis staticku ip adresu na nejakom zariadeni na napr. 192.168.1.15/24 a defaltnu gw 192.168.1.1, dns 8.8.8.8, tak by sa ti mal rozbehnut internet a tiez by si mal vediet pristupovat na dane zariadenie cez WG.
Právě, že když modem dám do LAN routeru a dám mu něco z 192.168.1.0/24 tak nejde internet vubec. Internet mi funguje jen s 2 konfiguracemi. Když router na WANu natuje na modem, který je v jiné podsíti nebo když nechám modemu jinou podsíť a přepnu ho do bridge a na routeru na WANu nastavím automatická IP. Na modem se z venku přes WG nedostanu nikdy.
-
OPRAVA, při tom vším zkoušením jsem neměl WG aktivní, tady je to komplet:
iptables z ASUS routeru
iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 24673 packets, 4129K bytes)
pkts bytes target prot opt in out source destination
0 0 DNSVPN10 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
1385 99659 DNSVPN10 udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 GAME_VSERVER all -- * * 0.0.0.0/0 192.168.2.199
0 0 VSERVER all -- * * 0.0.0.0/0 192.168.2.199
Chain INPUT (policy ACCEPT 5850 packets, 432K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 3771 packets, 429K bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 3397 packets, 389K bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * wgc5 !10.100.100.2 0.0.0.0/0
4946 626K PUPNP all -- * eth4 0.0.0.0/0 0.0.0.0/0
2081 417K MASQUERADE all -- * eth4 !192.168.2.199 0.0.0.0/0
405 42568 MASQUERADE all -- * br0 192.168.1.0/24 192.168.1.0/24
Chain DNSFILTER (0 references)
pkts bytes target prot opt in out source destination
Chain DNSVPN10 (2 references)
pkts bytes target prot opt in out source destination
Chain GAME_VSERVER (1 references)
pkts bytes target prot opt in out source destination
Chain LOCALSRV (0 references)
pkts bytes target prot opt in out source destination
Chain MAPE (0 references)
pkts bytes target prot opt in out source destination
Chain PCREDIRECT (0 references)
pkts bytes target prot opt in out source destination
Chain PUPNP (1 references)
pkts bytes target prot opt in out source destination
Chain VSERVER (1 references)
pkts bytes target prot opt in out source destination
0 0 VUPNP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain VUPNP (1 references)
pkts bytes target prot opt in out source destination
-
Jezkovi voci, to tady jeste porad resite? Ja to teda nebudu procitat cely, ale napadlo te treba, ze ta krabice miva typicky nejaky nastaveni na tema ze pripojit se muzes jen z nejakych IPcek, defaultne tech, ktery jsou na vnitrnim rozhrani?
-
Zdravim, tak nakonec jsem prisel co to zpusobovalo a bylo to v iptables v tabulce filter pravidlo -A FORWARD ! -i br0 -o eth4 -j DROP.
Ted jiz vse funguje jak jsem chtel