Wireguard a switche TP-link

Wireguard a switche TP-link
« kdy: 15. 09. 2022, 16:31:06 »
Zdravím,
mám dvě lokality (A a B) spojené Wireguard tunelem. Všechno funguje správně, až na webové rozhraní malých switchů TP-Link (např. model TL-SG108E). Pokud otevřu v prohlížeči ze sítě A adresu switche v síti B, stránka se mi do prohlížeče nenačte. Ping z A na switch do sítě B funguje. S ostatním provozem také není problém (tiskárny, rdp, smb,...). Pomocí wiresharku jsem si odchytil komunikaci, vymění si 9 packetů a pak už nic.
Předtím jsem používal spojení přes OpenVPN a tam to fungovalo bez problémů.
Kde by mohla být zrada - MTU, fragmentace...?

Kód: [Vybrat]
No.     Time               Source                Destination           Protocol Length Info
      1 13:33:55.588414    IP_PC        IP_TP_LINK        TCP      78     58003 → 80 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=64 TSval=1017895603 TSecr=0 SACK_PERM=1

Frame 1: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) on interface en0, id 0
Ethernet II, Src: MAC_PC (MAC_PC), Dst: MAC_TP_LINK (MAC_TP_LINK)
Internet Protocol Version 4, Src: IP_PC, Dst: IP_TP_LINK
Transmission Control Protocol, Src Port: 58003, Dst Port: 80, Seq: 0, Len: 0

No.     Time               Source                Destination           Protocol Length Info
      2 13:33:55.609355    IP_TP_LINK        IP_PC        TCP      60     80 → 58003 [SYN, ACK] Seq=0 Ack=1 Win=1460 Len=0 MSS=1460

Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface en0, id 0
Ethernet II, Src: MAC_TP_LINK (MAC_TP_LINK), Dst: MAC_PC (MAC_PC)
Internet Protocol Version 4, Src: IP_TP_LINK, Dst: IP_PC
Transmission Control Protocol, Src Port: 80, Dst Port: 58003, Seq: 0, Ack: 1, Len: 0

No.     Time               Source                Destination           Protocol Length Info
      3 13:33:55.609499    IP_PC        IP_TP_LINK        TCP      54     58003 → 80 [ACK] Seq=1 Ack=1 Win=65535 Len=0

Frame 3: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface en0, id 0
Ethernet II, Src: MAC_PC (MAC_PC), Dst: MAC_TP_LINK (MAC_TP_LINK)
Internet Protocol Version 4, Src: IP_PC, Dst: IP_TP_LINK
Transmission Control Protocol, Src Port: 58003, Dst Port: 80, Seq: 1, Ack: 1, Len: 0

No.     Time               Source                Destination           Protocol Length Info
      4 13:33:55.692900    IP_PC        IP_TP_LINK        HTTP     408    GET / HTTP/1.1

Frame 4: 408 bytes on wire (3264 bits), 408 bytes captured (3264 bits) on interface en0, id 0
Ethernet II, Src: MAC_PC (MAC_PC), Dst: MAC_TP_LINK (MAC_TP_LINK)
Internet Protocol Version 4, Src: IP_PC, Dst: IP_TP_LINK
Transmission Control Protocol, Src Port: 58003, Dst Port: 80, Seq: 1, Ack: 1, Len: 354
Hypertext Transfer Protocol

No.     Time               Source                Destination           Protocol Length Info
      5 13:33:55.712982    IP_TP_LINK        IP_PC        TCP      60     80 → 58003 [ACK] Seq=1 Ack=355 Win=1460 Len=0

Frame 5: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface en0, id 0
Ethernet II, Src: MAC_TP_LINK (MAC_TP_LINK), Dst: MAC_PC (MAC_PC)
Internet Protocol Version 4, Src: IP_TP_LINK, Dst: IP_PC
Transmission Control Protocol, Src Port: 80, Dst Port: 58003, Seq: 1, Ack: 355, Len: 0

No.     Time               Source                Destination           Protocol Length Info
      6 13:33:55.876542    IP_TP_LINK        IP_PC        TCP      889    [TCP Previous segment not captured] 80 → 58003 [ACK] Seq=10221 Ack=355 Win=1460 Len=835 [TCP segment of a reassembled PDU]

Frame 6: 889 bytes on wire (7112 bits), 889 bytes captured (7112 bits) on interface en0, id 0
Ethernet II, Src: MAC_TP_LINK (MAC_TP_LINK), Dst: MAC_PC (MAC_PC)
Internet Protocol Version 4, Src: IP_TP_LINK, Dst: IP_PC
Transmission Control Protocol, Src Port: 80, Dst Port: 58003, Seq: 10221, Ack: 355, Len: 835

No.     Time               Source                Destination           Protocol Length Info
      7 13:33:55.876547    IP_TP_LINK        IP_PC        TCP      60     80 → 58003 [FIN, ACK] Seq=11056 Ack=355 Win=1460 Len=0

Frame 7: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface en0, id 0
Ethernet II, Src: MAC_TP_LINK (MAC_TP_LINK), Dst: MAC_PC (MAC_PC)
Internet Protocol Version 4, Src: IP_TP_LINK, Dst: IP_PC
Transmission Control Protocol, Src Port: 80, Dst Port: 58003, Seq: 11056, Ack: 355, Len: 0

No.     Time               Source                Destination           Protocol Length Info
      8 13:33:55.876623    IP_PC        IP_TP_LINK        TCP      54     [TCP Dup ACK 3#1] 58003 → 80 [ACK] Seq=355 Ack=1 Win=65535 Len=0

Frame 8: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface en0, id 0
Ethernet II, Src: MAC_PC (MAC_PC), Dst: MAC_TP_LINK (MAC_TP_LINK)
Internet Protocol Version 4, Src: IP_PC, Dst: IP_TP_LINK
Transmission Control Protocol, Src Port: 58003, Dst Port: 80, Seq: 355, Ack: 1, Len: 0

No.     Time               Source                Destination           Protocol Length Info
      9 13:33:55.876623    IP_PC        IP_TP_LINK        TCP      54     [TCP Dup ACK 3#2] 58003 → 80 [ACK] Seq=355 Ack=1 Win=65535 Len=0

Frame 9: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface en0, id 0
Ethernet II, Src: MAC_PC (MAC_PC), Dst: MAC_TP_LINK (MAC_TP_LINK)
Internet Protocol Version 4, Src: IP_PC, Dst: IP_TP_LINK
Transmission Control Protocol, Src Port: 58003, Dst Port: 80, Seq: 355, Ack: 1, Len: 0


bmn

  • ***
  • 184
    • Zobrazit profil
    • E-mail
Re:Wireguard a switche TP-link
« Odpověď #1 kdy: 15. 09. 2022, 17:50:14 »
Ano, může to být problém MTU a blokované icmp. Zkuste na tom routeru kde běží wg přidat do iptables pravidlo s -j TCPMSS --clamp-mss-to-pmtu.

Re:Wireguard a switche TP-link
« Odpověď #2 kdy: 16. 09. 2022, 08:28:21 »
Zkusil jsem na oba routery přidat pravidlo:
Kód: [Vybrat]
--append FORWARD --protocol tcp --tcp-flags SYN,RST SYN --jump TCPMSS --clamp-mss-to-pmtuale bez úspěchu.

Pomohlo mi nastavit MTU = 1500 na obou routerech a webové rozhraní TP-link už funguje.