WireGuard pro domácí síť

[LukePole2]

WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal) a samozřejmě i pro případy, kdy je potřeba někde v zahraničí mít IP adresu z ČR (třeba kvůli netové TV). Ale snažit se WG používat ve vnitřní síti k jakémusi šifrování čehosi, je naprostá utopie. Vnitřní síť musí být naopak bez jakýchkoliv překážek. A pokud se jedná o vnitřní síť, kde je potřeba nějak oddělit vlastní zařízení od cizích (třeba u felčara, který používá síť pro svoje zařízení + tam dá WiFi pro pacienty v čekárně), tak na to stačí udělat VLAN.

[Reklama]

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.

vždyť už to napsal , ale pořád nemám celý obrázek..

Kde chceš mít druhý konec tunelu?

Zkusím se zeptat jestli je to co chceš?

Máš svoji síť. Která je součástí jiné větší sítě. Chceš aby provoz do netu byl šifrovaný.
Pak stačí na tvém routeru nastavit WG , to allowed IP na nulky, nastavit druhý WG peer na tu VPS a . +Pohlídat dns
?
Pokud je ten popis špatně, co opravit?

Podle mě na 

[k3dAR]

[...]Kde chceš mít druhý konec tunelu?

Zkusím se zeptat jestli je to co chceš?

On to uz upresnil, ma lokalni sit v ktere ma napr. PC, TV a chce aby v te lokalni siti ta lokalni zarizeni mezi sebou komunikovala lokalnim WG tunelem ;⁠-⁠)

[michaelscz]

WG slouží pro přístup do domácí sítě zvenčí (jak tady už někdo napsal)

No to není úplně přesně pravda, WG je jedno kde je. Prostě mám klienta v mobilu, jsem doma na wifi a i když jsem na stejné VLAN se stejnou adresací jako třeba kamera doma a já si na telefonu dám náhled kamery, tak na Mikrotiku vidím, že data jdou na router na iterface WG čili jsou i v VLAN tunelem a teprve pak z Mikrotiku na tu kameru - viz screenshot
10.140.5.0 je WG síť
10.140.1.0 je LAN (+ wifi)

[michaelscz]

[...]Kde chceš mít druhý konec tunelu?

Zkusím se zeptat jestli je to co chceš?

On to uz upresnil, ma lokalni sit v ktere ma napr. PC, TV a chce aby v te lokalni siti ta lokalni zarizeni mezi sebou komunikovala lokalnim WG tunelem ;⁠-⁠)

... a jak jsem psal, jde to ..
Prostě když na mikrotiku udělám WG a na všech PC a telefonech si dám WG klienta s Allowed 0.0.0.0/0 tak to všechno půjde tunelem ...
Nežere to baterku, nemusí to udržovat žádné TCP spojení. Prostě přijde požadavek na paket a WG klient je jej obalí a hodí do tunelu.

[Reklama]

[michaelscz]

Zkusím to napsat lépe, můj cíl je aby všechna připojená zařízení nemusela používat klienta. Jednoduše připojím např. tablet a ten bude mít přístup přes WG na internet. Nejsem odborník na sítě a v Linuxu umím jen základy, pokud je to moc složité a nejde napsat postup tak na to kašlem.

A jak chceš používat WG bez klienta? Zamyslel jsi se než jsi to napsal?

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Podle mě to je srozumitelné (pro mě až teď, když jsem sti to přečetl xkrát), že prostě  WG nebude terminován   na (každém)koncovém zařízení, které chce používat. Takže na  (nejspíš prvním) routeru právě bude jeden wiregurd démon. Otázka je, jestli to chce nějak granulárněji řešit (vyčlenit dle source, destination), ale vzhledem k uvádění 0.0.0.0 asi veškerý cíle, takže zbývá pro která zařízení chce tunelizaci aplikovat, a možností se nabízí víc, podle source  IP (policy routing-ip rule from) nebo podle vstupního rozraní ( ip-rule iif) nebo podle vlan.


Abych přihodil jednu zvlášnost, (která nezpůsobuje žádné problémy), v některých situacích  dostávám ICMP new gateway redirect....  No v některých... asi při každé nové srcIP dstIP komunikaci

Nastane až v situaci, kdy do hry vstoupí smartphone s android wg klientem a zapnu na něm šoupátkem danou VPN (zbývající 2 nody mají permanentní tunel, NATEDrouter za NATEM keepalivující na VPS)
, tedy režim komunikace začne z síťařského hlediska být zajímavý (z nudného point to point tunelu  o dvou peerech se  prostřední node(VPS)  se stane multipoint node )

příklad :curl 10.5.0.NATEDROUTER
na wg rozhraní  natovaného routeru se mi objeví:
istening on wg_rou-vps, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
IP 10.5.0.VPS > 10.5.0.NATEDROUTER: ICMP redirect 10.5.0.PHONE to host 10.5.0.PHONE, length 68

tentýž ICMP paket z pohledu PHONU vypadá:
interface tun0
IP 10.5.0.VPS > 10.5.0.PHONE: ICMP redirect 10.5.0.NATEDROUTER to host 10.5.0.NATED ROUTER, length 68 (snapshot paketu: PHONE->NATEDROUTER)


ale icmp redirect nastává z kteréhokoli zařízení z LAN spojujícíse ho  stelefonem (hypoteticky jako kdybymi tam jel webserver):
(z pohledu phonu)
10.5.0.VPS > 10.5.0.PHONE  ICMP REdirect 192.168.1.22 to HOST 10.5.0.NATEDROUTER
(z pohledu NATEDROUTERU)
---žádný redirect---
(z pohledu vps)
 10.5.0.VPS > 10.5.0.PHONE: ICMP redirect 192.168.1.22 to host 10.5.0.NATEDROUTER, length 48
   IP (tos 0x0, ttl 63, id 37, offset 0, flags [DF], proto TCP (6), length 40)
    10.5.0.PHONE.88 > 192.168.1.21.51607: Flags

• , cksum 0x5d2b (correct), seq 0, ack 2207791321, win 0, length 0

NAT se mezi těmito sítěmi neděje. (NAT dělá jenom vps pří přístupu na internet nebo router při přístup na internet přes WAN)


záznam flow při nc 10.5.0..PHONE 80:

Kód: [Vybrat]

00:00:00.000000 IP 192.168.1.21.52247 > 10.5.0.PHO.8222: Flags [S], seq 2572734474, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1123288837 ecr 0,sackOK,eol], length 0
 00:00:00.000022 IP 192.168.1.21.52247 > 10.5.0.PHO.8222: Flags [S], seq 2572734474, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 1123288837 ecr 0,sackOK,eol], length 0
 00:00:00.771971 IP 10.5.0.PHO.8222 > 192.168.1.21.52247: Flags [R.], seq 0, ack 2572734475, win 0, length 0
 00:00:00.000024 IP 10.5.0.VPS > 10.5.0.PHO: ICMP redirect 192.168.1.21 to host 10.5.0.NATEDROUTER, length 48
 00:00:00.000012 IP 10.5.0.PHO.8222 > 192.168.1.21.52247: Flags [R.], seq 0, ack 1, win 0, length 0(jo to vím, že některé knihovny střílí TCP syn x krát)

a z telefonu

00:00:00.000012 IP (tos 0xc0, ttl 64, id 32201, offset 0, flags [none], proto ICMP (1), length 80)
    10.5.0.VPS > 10.5.0.PHO: ICMP redirect 192.168.1.16 to host 10.5.0.NATEDROUTER, length 60
   IP (tos 0x0, ttl 63, id 43356, offset 0, flags [DF], proto TCP (6), length 52)
    10.5.0.PHO.37549 > 192.168.1.16.80: Flags [F.], cksum 0x448a (correct), seq 76, ack 374, win 131, options [nop,nop,TS val 4303581 ecr 19382204], length 0

A to nejduležitější: Nemám třeba blbě konfiguraci WG ? Mám to tak, že VPS má 2 peery (router, phone), ale PHONE má peera VPS a ROUTER má peera VPS taky (ostatně jak  jinak)?


čili co je to za věc? je to nějaký bug vážnž'ý? nebo je to očekáváné chování? vypadá, to ,že telefon posílá pakety jakousi špatnou pseudobránu (ale pochybuju, že něco takového existuje v TUN) . opakuju, že vše funguje. Jenom prostě padají z obou směrů tyhle ICMP zdvižené prsty

Je to asi takhle? On by ten VPS chtěl, aby to  WG bylo spojené do trojúhelníka (propojit PHONE a router) ale to nejde, protože nikdo z nich nemá veřejnou IP ... proto pořád vysílá ty icmp redirecty... Mezi nimi musí být ten styčný VPS

A teď, jak to řešit? něco správně dokonfigurovat (a kde) nebo umlčet logy (nějaké sysctl) nebo ignorovat nebo upgradovat nějakého wg démona