Neplecha s WireGuardom

[darebacik]

Pozdravujem.
Na PC v LAN som nainstaloval wireguard kvoli tomu aby som sa mohol vzdialene pripojit do inej siete cez (WAN). Vsetko funguje, dokazem sa pripojit na vzdialenu siet ale problemy zacnu v LAN.
V LAN mam este nastavene lokalne subnety (napr. 123.net.net, 345.net.net a pod (net.net je verejny, ale 123 a 345 su len lokalne)), ktore spravuje dnsmasq (pfsense)

Kód: [Vybrat]

LAN 192.168.1.0/24
WG1 10.10.3.0/24
Ked spustim wg siet a pouzijem  tento config (DNS 192.168.1.1 je tam skor zbytocny).

Kód: [Vybrat]

[Interface]
PrivateKey = AJ+qaSaO1yZNxw**************sQb3dOfReulV8=
Address = 10.10.3.5/32
DNS = 192.168.1.1, 1.1.1.1

[Peer]
PublicKey = NPpRg/ap********************************AKlanGFQ8=
Endpoint = wg-net.net:51830
AllowedIPs = 10.10.3.0/24, 192.168.70.0/24
PresharedKey = 0849aCdXh3********************0GVBqH2D3j4=
PersistentKeepalive = 25
tak pochopitelne mam funkcne tieto siete 10.10.3.0/24, 192.168.70.0/24. Vobec nefunguje internet a ani lokalne subdomeny. Ak zmenim riadok allowedips na

Kód: [Vybrat]

AllowedIPs = 0.0.0.0/0
Funguju siete 10.10.3.0/24, 192.168.70.0/24 aj internet, ale lokalne subdomeny nie. A v kazdom pripade ide traffic cez wg a to nechcem.
Chcem aby cez wg islo len 10.10.3.0/24, 192.168.70.0/24 a cez enp3s0 vsetko ostatne.

ip route

Kód: [Vybrat]

default via 192.168.1.1 dev enp3s0 proto dhcp src 192.168.1.2 metric 100
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.104
10.10.3.0/24 dev wg1 scope link
192.168.1.0/24 dev enp3s0 proto kernel scope link src 192.168.1.2 metric 100
192.168.70.0/24 dev wg1 scope link

je tam este jedna tun0 ale to je ina vpn.
Myslim ze tabulka vyzera spravne, ale nesprava sa tak ako by sa to malo spravat.
Vidite niekde chybu ?

btw riesenim by bolo zapinat wg, len ked potrebujem ist do 192.168.70.0/24, ale to sa mi velmi nepaci. Malo by  fungovat vsetko spolu.

[Reklama]

[czechsys]

Nebudu se v tom hrabat, z hlavy si to nevybavim. Ale dotaz je nekonkretni.

Bud nefunguje internet/lokalni site, nebo nefunguje dns, nebo oboji. Takze prvni test by mel zjistit, co nefunguje (ping na ip, dns preklady) a podle toho se da lepe definovat, co vlastne nefunguje.

[darebacik]

Problem je asi v tom, ze kez zapnem WG, tak vsetko tlaci cez WG a nic nejde cez enp3s0

[reddy1975]

Pokud chcete přesměrovat celý provoz přes wireguard pomocí

AllowedIPs = 0.0.0.0/0

pak si zkuste do DNS přidat ještě localdomain

DNS = 192.168.1.1, 1.1.1.1, localdomain

S tímto problémem jsem se potýkal taky a toto řešení funguje (aspoň v mém případě).

[darebacik]

Ja prave nechcem smerovat vsetko do wg tunela, ale naopak,  cez tunel potrebuem riesit len siet 192.168.70.0/24

Akonahle spustim wg  tunel

Kód: [Vybrat]

sudo systemctl start wg-quick@wg1.servicetak sa siet prepne na wg1 a vsetko ide cez tunel
ak wg tunel stopnem

Kód: [Vybrat]

sudo systemctl stop wg-quick@wg1.servicesiet sa prepne na klasicku siet

[Reklama]

[reddy1975]

Ten wireguard nefunguje úplně správně kvůli neúplnému nastavení překladu i lokálních domén, tudíž přidání konfigurace DNS s tím localdomain by toto měl vyřešit.

Řešení toho problému jsem před nedávnem nalezl zde https://askubuntu.com/questions/1132981/how-can-i-fix-resolving-domain-names-with-wireguard.

[reddy1975]

A taky si zkontrolujte, jestli v konfiguracích nemáte třeba mezery nebo jiné netisknutelné znaky za veřejnými a soukromými klíči (za jejich posledním znakem "=").
I toto dělá neplechu.

[darebacik]

Skusal som moznosti, ktore ste mi poradili, ale nefungovalo to.
Netusim dovod, ale odmazanim celeho riadku DNS v sekcii interface, zacalo vsetko fungovat

Kód: [Vybrat]

DNS = 192.168.1.1, 1.1.1.1On asi prepisoval DNS v /etc/resolv.conf

Pretoze ak som zapol WG a prepisal v /etc/resolv.conf na 192.168.1.1 tak to fungovalo. Ked som wg restartoval, tak  v /etc/resolv.conf
uz bolo zase nameserver 127.0.0.53

[reddy1975]

Ano, on pak zbytek komunikace převezme z nastavení systému a problém s DNS tímto odpadne.

Tady je vysvětleno, jak toto správně konfigurovat pro různá řešení: https://www.procustodibus.com/blog/2022/03/wireguard-dns-config-for-systemd/ (dohledal před chvílí).

Každý používá specifická řešení.

[LolPhirae]

Pretoze ak som zapol WG a prepisal v /etc/resolv.conf na 192.168.1.1 tak to fungovalo. Ked som wg restartoval, tak  v /etc/resolv.conf
uz bolo zase nameserver 127.0.0.53

Tento problém, stejně jako mnoho dalších, se snadno vyřeší permanentní likvidací Lennartovy srágory.

[k3dAR]

Pretoze ak som zapol WG a prepisal v /etc/resolv.conf na 192.168.1.1 tak to fungovalo. Ked som wg restartoval, tak  v /etc/resolv.conf
uz bolo zase nameserver 127.0.0.53

Tento problém, stejně jako mnoho dalších, se snadno vyřeší permanentní likvidací Lennartovy srágory.

nemam problem s WG z venku jen pro domaci sit (=ne pro internet) i kdyz mam systemd-resolved aktivni ;-)
zasadni je asi jen:

Kód: [Vybrat]

[Interface]
DNS = 192.168.8.1

[Peer]
AllowedIPs = 192.168.0.0/16

192.168.8.1 je adresa routeru kterej drzi i nazvy pro lokalni "domenu" .lan a s WG mi takto funguje bez problemu napr.: nc.t630.lan

[LolPhirae]

Tento problém, stejně jako mnoho dalších, se snadno vyřeší permanentní likvidací Lennartovy srágory.

nemam problem s WG z venku jen pro domaci sit (=ne pro internet) i kdyz mam system aktivni ;-)
zasadni je asi jen:

No, já s tím mám třeba problém ten, že to samo od sebe náhodně chcípá... Ubuntu 24.04.1 LTS, kde běží LibreNMS. Následně pochopitelně nejde monitoring vůbec ničeho.

Vzhledem k tomu, že žádnou z těch úžasných "výhod" tohoto výmyslu vůbec nepotřebuju, usoudil jsem, že bude lépe to kompletně zlikvidovat.

[k3dAR]

No, já s tím mám třeba problém ten, že to samo od sebe náhodně chcípá... Ubuntu 24.04.1 LTS, kde běží LibreNMS. [...]

to o cem sem psal ze mi chodi, je NB s Xubuntu 24.04.1 :-) a ta domena co sem psal nc.t630.lan take bezi na 24.04.1, a systemd-resolved sem nevypinal ani na jednom a nahodne na tom nechcipa nic, na tom t630 krome NextCloud naprimo je jeste virtual s HomeAssistant OS, coz teda neni zalozene na *buntu ale "Linux From Scratch" a systemd-resolved tam bezi take a opet nic nechcipa :-)

chapu ze pokud mas nejaky problem, a bez systemd-resolved ti zmizi, nez resit pricinu v danem pripade mas jednodusi to nepouzivat, ale urcite nejde obecne rici ze to dela problemy pri WG ci obecne s chcipanim/nedostupnosti na tom bezicich sluzeb :-)