Wireguarg a propojení 2 NAT LAN přes veřejný server

Re:Wireguarg a propojení 2 NAT LAN přes veřejný server
« Odpověď #15 kdy: 20. 01. 2021, 21:39:32 »
Tak to jsem rád že se to povedlo.
Jen mi není jasné proč je v na serveru v PostUp toto
Kód: [Vybrat]
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADEPodle mě je to zbytečné.


Vilith

  • *****
  • 662
    • Zobrazit profil
Re:Wireguarg a propojení 2 NAT LAN přes veřejný server
« Odpověď #16 kdy: 21. 01. 2021, 07:12:18 »
Tak to jsem rád že se to povedlo.
Jen mi není jasné proč je v na serveru v PostUp toto
Kód: [Vybrat]
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADEPodle mě je to zbytečné.

To  jsem neřešil, ale použil z předchozího příkladu od drobek1, kdy autor posílá do tunelu veškerý provoz a odchozí komunikaci zajišťuje server ve středu řešení.

U mne to moc význam mít nebude, ale co kdyby někdy něco do tunelu "vlítlo" v rámci experimentu a nebo nepozornosti

Snad se nepletu

Re:Wireguarg a propojení 2 NAT LAN přes veřejný server
« Odpověď #17 kdy: 21. 01. 2021, 13:31:10 »
Připadá mi, že to v tom PDF máte nějak obráceně.

Node1 má u sebe síť 192.168.10.0/24 a má svou adresu ve VPN 192.168.222.10

Tedy by měl mít v AllowedIPs rozsahy jiných sítí a ne svojí. Tedy 192.168.20.0/24 a 192.168.222.0/24
Položky 192.168.222.1/32 a 192.168.222.20/32 jsou nadbytečné, protože jsou pokryty hodnotou 192.168.222.0/24.

Osobně bych doporučoval zvolit spíše větší prefix, pro případ, že sítě budou časem tři nebo čtyři - nemá cenu obcházet pak nastavení všech uzlů. Já bych tedy doporučil na oba nody nastavit AllowedIPs na 192.168.0.0/16.

Static route také není potřeba, protože Wireguard je L3 spoj, takže tam se adresa nexthopu beztak nijak neuplatní (192.168.20.0/24 via 192.168.222.20 dev wg0 je totéž co 192.168.20.0/24 dev wg0 a tento záznam automaticky vytvoří startovací skript wireguardu, pokud mu nevypnete "Route Allowed IPs").

Na straně serveru je nastavení AllowedIPs správně, ovšem ta maškaráda a pravidla PostUp a PostDown jsou úplně zbytečná, stačí prostě povolit předávání v /proc/sys/net/ipv4/ip_forward a pokud se používá firewall, nastavit ho tak, aby neblokoval forwarding. To lze udělat staticky.

Vilith

  • *****
  • 662
    • Zobrazit profil
Re:Wireguarg a propojení 2 NAT LAN přes veřejný server
« Odpověď #18 kdy: 21. 01. 2021, 13:53:05 »
Připadá mi, že to v tom PDF máte nějak obráceně.

Node1 má u sebe síť 192.168.10.0/24 a má svou adresu ve VPN 192.168.222.10

Tedy by měl mít v AllowedIPs rozsahy jiných sítí a ne svojí. Tedy 192.168.20.0/24 a 192.168.222.0/24
Položky 192.168.222.1/32 a 192.168.222.20/32 jsou nadbytečné, protože jsou pokryty hodnotou 192.168.222.0/24.

Osobně bych doporučoval zvolit spíše větší prefix, pro případ, že sítě budou časem tři nebo čtyři - nemá cenu obcházet pak nastavení všech uzlů. Já bych tedy doporučil na oba nody nastavit AllowedIPs na 192.168.0.0/16.

Static route také není potřeba, protože Wireguard je L3 spoj, takže tam se adresa nexthopu beztak nijak neuplatní (192.168.20.0/24 via 192.168.222.20 dev wg0 je totéž co 192.168.20.0/24 dev wg0 a tento záznam automaticky vytvoří startovací skript wireguardu, pokud mu nevypnete "Route Allowed IPs").

Na straně serveru je nastavení AllowedIPs správně, ovšem ta maškaráda a pravidla PostUp a PostDown jsou úplně zbytečná, stačí prostě povolit předávání v /proc/sys/net/ipv4/ip_forward a pokud se používá firewall, nastavit ho tak, aby neblokoval forwarding. To lze udělat staticky.

Nevím, ale toto řešení, jako jedno z mnoha pokusů, je funkční

Node A má skutečně
Kód: [Vybrat]
allowed ips: 192.168.10.0/24, 192.168.222.10/32, 192.168.222.1/32, 192.168.222.20/32, 192.168.20.0/24

Jeho LAN je 192.168.10.0/24
VPN co ho řídí je 192.168.222.10/32
na serveru je 192.168.222.1/32
a na nodu B je 192.168.222.20/32

Obecně se dá povolit vše, ale na druhou stranu je lépe mít větší kontrolu a povolovat opravdu jen to, co je potřeba

Nyní je zvolen malý IP adresní rozsah IPv4 , ale jistě pro nikoho nebude problém použít rozsahy větší podle potřeby

Kód: [Vybrat]
192.168.20.0/24 via 192.168.222.20 dev wg0 proto static je jeden z řádků výpisu "ip rou" na node A. Vlastní routing je nastaven na další záložce v OpenWRT webové konfigurace