1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. WireGuard pro domácí síť
« předchozí další »
Stran: [1]

WireGuard pro domácí síť

  • 3 Odpovědí
  • 699 Zhlédnutí

Pentheus

WireGuard pro domácí síť
« kdy: Dnes v 06:02:51 »
Čau, potřebuji poradit jak nastavit WG aby filtroval všechen provoz v domácí síti.
Mám VDSL router přes LAN TV_box s armbian, na něm mám nastaveno WG (wg0) server a klienta přes PC, vše funguje.
Pokud vytvořím wg1 a spustím, tak nemám přístup na internet, asi mi to blokuje FW.

wg0
Kód: [Vybrat]
# Do not alter the commented lines
# They are used by wireguard-install
# ENDPOINT 192.168.1.104

[Interface]
Address = 10.7.0.1/24
PrivateKey = xx
ListenPort = 51820

# BEGIN_PEER
[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 10.7.0.2/32
# END_PEER


wg1
Kód: [Vybrat]
[Interface]
Address = 10.7.0.2/24
DNS = 9.9.9.9, 142.112.112.112
PrivateKey = xx

[Peer]
PublicKey = xx
PresharedKey = xx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 192.168.1.104:51820
PersistentKeepalive = 25

IP zaznamenána

Reklama

  • * * * * *

Zopper

  • *****
  • 783
    • Zobrazit profil
Re:WireGuard pro domácí síť
« Odpověď #1 kdy: Dnes v 07:24:56 »
Není mi jasné,  o co se reálně snažíš. Přijde mi, že chceš provozovat VPN uvnitř LAN místo pro přístup z venku a něco o filtrování... Čeho přesně se tím snažíš dosáhnout? Nebude lepší VLAN + firewall pravidla? :)

A co říká debug log wireguardu, naváže se spojení? Drží se, nerozpadá se? Pingneš z peera na druhou stranu?
IP zaznamenána

RDa

  • *****
  • 2 726
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #2 kdy: Dnes v 08:28:04 »
Podle me, klient WG1 podle tohoto:

Kód: [Vybrat]
AllowedIPs = 0.0.0.0/0, ::/0
Bude routovat po aktivaci vpn provoz do WG spojeni, ale server WG0 nema zapnuty routing/NAT pak dal, a jedina adresa na kterou se dostanes je tedy jeho vpn adresa 10.7.0.1 .
IP zaznamenána

Ħαℓ₸℮ℵ ␏⫢ ⦚

  • *****
  • 559
    • Zobrazit profil
    • E-mail
Re:WireGuard pro domácí síť
« Odpověď #3 kdy: Dnes v 12:21:26 »
Ten popis je vágoní, moc z toho nevyčtu. Filtrováním myslíš co? REJECT,DROP asi ne. A "všechen" provoz od více počítačů nebo víc typů (bez rozlišení kombinace dst portů/ IP  )
Nemáš přístup na internet z  jakých zařízení? Předpokládám že jenom z wg1 počítače Je na server povoleno forwardování a taky NAT?
Nemělo by allowed ips mít AllowedIPs = 10.7.0.2/24 ?

 To "vše funguje" znamená ještě před "spuštěním" wg1 ? Nebo po spuštění wg1 a jen komunikaci v LAN a neboj dokonce jen mezi peery? 10.x.x.x. ? (Ono spuštění wg  na jednom pc nemá co ovlivnit moc)



Moje rada, použít tcpdump, zkoušet tracecroute, pingy pro tyto obory :10.x.x.x. / v rámci LAN, pak do internetu.

někdy se povede, že ping dokáže hlásit něco jakko "Klíč není dostupný"... chyba  routing wg

taky by to chtělo třeba pastnout routovací tabulky...

policy routing  , packet marking nebo nějaké specitality používáš? NAT taky a a kde?
« Poslední změna: Dnes v 12:24:23 od Ħαℓ₸℮ℵ ␏⫢ ⦚ »
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. WireGuard pro domácí síť