Mám problém s "prostřelením" trafficu zařízení připojených na Hotspot android telefonu, jehož spojení do internetuju jsou klasicky data LTE. Chci komunikovat do sítě 10.0.2.0/24 (rozsah adres wg interface) a 192.168.6.0/24 (propojená síť na třetím peerovi).
Přímo z telefonu samotného mi vše funguje OK (to znamená že se v pořádku dostanu na interní rozsah tunelu 10.0.2.x ale i na .192.168.6.x na naroutové síti na třetím peeru za 2 naty po schodech nahoru a třetí zatáčka vlevo)
Telefon má jedno wg rozhraní s jedním peerem (veřejná IP). Tento PC má 2 peery (zmíněný telefon a klienta právě pro připojení té naroutované sítě. Pro jednoduchost lze uvažovat, jako kdyby naroutovaná sít 192.168.6.0 byla na tom veřejném PC.
Z toho důvodu, že na zadaný stroj totiž žádný paket nedorazí (traffic původem z hotspot klienta ne, ale z samotného smartphonu ano )- viz doleZjištění: na veřejný PC nedorazí žádný traffic (na any rozhraní) pokud si chci z zařízení
na hotpotu připojit na 192.168.6.x i 10.0.2.x
Na smartphonu je hotspot řešen s
geniální fíčurkou že síť hotspotuje je 192.168.
RANDOM.0/24 a je natován samozřejmě (projistotu z 192.168.RANDOM.random
).
Z telefonu naopak odchází pakety z CGNAT adresy 100.x.x.x na 192.168 nebo 10.0. z rozhraní rmnet_dataX (ihned potom, co je přijat paket z wlan0 z 192.168.164.123 )
To je podle mě klíčový problém , tipl bych špatné pořadí pravidel pro wg a pro hotspot / PREROUTING a POSTROUTING.
Zkoušel jsem samozřejmě volbu Allow hotspot clients to use VPN On/off. a taky různé pořadí zapnutí wg a hotspotu
Jistě, ať má zařízení na hotspotu jakoukoli ip, a ť mu ji přiděluje dhcp an tom androidu, ale ať mi to funguje (současně ale se to musí nějak natovat, abych na protější peerovi nemusel laborovat s allowed-ips)
Chci to vyřešit nějak seamless, abych při každém zapnutí nemusel hledat , které číslo z 192.168.(2-254).0 je rozsah sítě nebo si vzpomínat že mám přidávat další iptables pravidlo. Telefon má
LineageOS < Android 11. Jak to řešit pokud možno elegantně?
!!! Dle mě jde nějakou ch
Další pozorování: tento wireguard program dle mého zjištění v telefonu není považován z VPN jako takovou.
Nezkoušel jsem Options Disable kernel module backend.
Mám oficiální com..wireguard.android nástroj
Konfig je:
Interface: Adresa 10.0.2.10/24
Peer: Allowed 10.0.2.0/24,192,168.6/24, endpoint : blažek.com:99999
ip r hlásí
(default routa na androidech jaksi schází ve výpisu)10.0.2.0/24 dev wg-phone src ... _.2.10
100.116.123.40/30 dev rmnetdata src ... _.123.42
192.168.69.0/24 dev wlan1 src ... _.69.234
root mám (jinak bych asi těžko spustil su
do -c tcpdump ) . Ještě jednou, spojení do světa je přes LTE(100.x.x.x) a k wifině nejsem připojen (pro jistotu to zmiňuji), hotspot jen je zapnutý .
A připojení z samotného telefonu funguje bezvadně