Ze třetího WG peera funguje jen port 443

Ze třetího WG peera funguje jen port 443
« kdy: 15. 09. 2022, 22:55:31 »
Stal se mi nový problém s wireguardem, který jsem doteď neměl. Ale pozor je tam víc podmínek.
Problém se nevyskytuje v lokální síti , ani při přístupu z prostředního peera, ani při forwardingu portů na psotředním peerovi(tedy veřejný server). Vyskytuje se jen  při přístupu z třetího peera(na kterém je wg klient, android, a ten se připojuje taky na druhý peer,dalo by se říct server)

První peer jsem doteď nezmínil a to je router, který má na eth2 zmíněnou síť, 192.168.10.X a vytáčí wg tunel na peer 2 se zajištěným permanentkeepalive přes eth1 (192.168.0.X)

Když se chci spojit  z peera tři (mobilní zaříení  zkoušel jsem víc wifi sítí i data))na jeden konkrétní stroj , jediné co funguje je HTTPS(port  443) Na ostatní porty je to hluché, vytimeoutuje se to po nějaké půlminutě i na uzavřené nesmyslné porty.

Nevím v čem je port 443 extra že jako jediný jde.

Jak jsem psal, ostatní porty jdou přímoz LAN, jdou i z toho druhého konce tunelu a dokonce jdou (překvapivě ::::D ) na veřejné IP 2:peeru:PORT na portu který naforwarduji přes SNAT a DNAT (včetně  zNATOVÁNÍ zdrojové IP)

CO je mi divné, že ale na jiné zařízení jde se připojit . 192.168.10.JINE na port 80 OK.

Máte takhle tip, čím by to mohlo být?

Zatím jsem neměl čas to víc zkoumat, pustit si wireshark -i any icmp | port 50280  | port  80... nebo sledovat watch iptables -nxL, sledovat wireshark podrobněji než jak jsem psal tcpdump, nebo vyměnit toho peera za něco jiného než tel. sa ndroidem Zkoušel jsem restart mobilu, snížit MTU které bylo 9000 omylem přímo na tom testovaném zařízení(ale nevím, že by to dřív nešlo), shodit tunel a zapnout znovu?

Ale divné je že dřív to šlapalo.Rozumím že to nejsou skoro žádné informace, ale aspoň nějaký tip....? Snad to nebude nakonec nějaké filtrování přímo na tom testovaném zařízení....
« Poslední změna: 15. 09. 2022, 23:51:24 od Petr Krčmář »


Re:Ze třetího WG peera funguje jen port 443 - vyřešeno
« Odpověď #1 kdy: 16. 09. 2022, 09:48:19 »
Tak vyřešeno, problém byl v restriktivním firewallu na bráně (vše v FORWARD), prisel jsem na to sniffováním (icmp) (hlásilo to port unreachable ale ne  porty služeb jako 443,22,80, ty komplementární v soketu(náhodné src porty iniciátorA)
)
- policy drop
- vespod DROP na odchozi komunikaci dle mac  (proto prichozi pakety nebyly problem)
- nad nim accept pro jedinou src ip  z rozsahu  vpn (protoze druhy konec tunelu to natuje, abych nemusel mít allowed-ips 0.0.0.0)

No a proč ta záhada že 443 šel? Protože jsem měl port forwarding  (portu 24443)na 192.168.10.88:443 (ne na bráně ale na tom druhém konci -vpn"serveru") formou DNAT+SNAT , tudiž to i src ip wg klienta přepisovalo na tu jedinou povolenou

Takže muj tip byl mimo, na samotnem device nic nebylo.