WireGuard na Windows s více klienty

WireGuard na Windows s více klienty
« kdy: 27. 03. 2024, 20:00:58 »
Ahoj,
už pár dní se peru s problémem a to Wireguard server na windows serveru.
řeším takový zapeklitý problém a to s routingem.

Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/32
Client2 wg ip: 10.10.10.3/32

Ze serveru windows přes konzoli se pingnu na 10.10.10.2 i 10.10.10.3 (oba klienti v pořádku)
Ale už nedokážu z Clienta1 pingnout na Clienta2.

Můžete mi poradit co dělám špatně?
route na serveru mám nastaveno na 0.0.0.0/0 a na obou klientech mám Allowed Adddress 10.10.10.0/24

Děkuji za každou radu.

Kód: [Vybrat]
Tabulka route na serveru:
  Network Destination        Netmask          Gateway       Interface    Metric
         0.0.0.0          0.0.0.0                     On-link        10.10.10.1  19998
        10.10.10.0    255.255.255.0           On-link         10.10.10.1  10255
        10.10.10.1  255.255.255.255         On-link         10.10.10.1  10255
        10.10.10.2  255.255.255.255         On-link         10.10.10.1   9999
        10.10.10.3  255.255.255.255         On-link         10.10.10.1   9999
« Poslední změna: 27. 03. 2024, 22:06:30 od Petr Krčmář »


Re:WireGuard na Windows s více klienty
« Odpověď #1 kdy: 28. 03. 2024, 00:24:04 »
Mam dojem ze pro Allowed Address potrebujes adresu serveru tedy 10.10.10.1/24 nikoliv 10.10.10.0/24

robac

  • ***
  • 202
    • Zobrazit profil
    • E-mail
Re:WireGuard na Windows s více klienty
« Odpověď #2 kdy: 28. 03. 2024, 00:53:02 »
Kdyz jsme u tech dojmu, tak ten muj je, ze bych si jako prvni zkontroloval, zda je na tom WinServeru je zapnuty packet forwarding.

Re:WireGuard na Windows s více klienty
« Odpověď #3 kdy: 28. 03. 2024, 08:30:09 »
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/32
Client2 wg ip: 10.10.10.3/32
No správně má být:
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/24
Client2 wg ip: 10.10.10.3/24

robac

  • ***
  • 202
    • Zobrazit profil
    • E-mail
Re:WireGuard na Windows s více klienty
« Odpověď #4 kdy: 28. 03. 2024, 15:23:24 »
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/32
Client2 wg ip: 10.10.10.3/32
No správně má být:
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/24
Client2 wg ip: 10.10.10.3/24
Nerikam, ze to mam dobre, ale kouknul jsem na jednom klientovi do konfiguracniho souboru a v pripade jednoho profilu mam adresu /32 a u druheho /24. Funguje oboje.

Nerikam,ze to ma nejak podrobne nastudovane, ale muj dojem je:
  • wireguard sifruje (atp.) komunikaci mezi klienty, ale packety neforwarduje, to dela OS,
  • Windows by default neforwarduje, je to potreba povolit.

Nejlogictejsi by samozrejme bylo, kdyby tazatel prilozil konfiguracni soubory a vypis routing table ze vsech tri stroju.


jjrsk

  • ****
  • 400
    • Zobrazit profil
Re:WireGuard na Windows s více klienty
« Odpověď #5 kdy: 28. 03. 2024, 17:43:07 »
Nerikam, ze to mam dobre, ...
Protoze ve skutecnosti, je to v tyhle variante jedno.

/24 = na stejnem iface jsou naprimo dostupni i dalsi = poslou se tam pakety jim urcene. /32 = sem tu sam ... ale defaul routa miri na iface ... tudiz je jen rozdil v tom, ktery radek z routovaci tabulky se uplatni.

32 se bude pouzivat IMO castejs, proto abys eliminoval broadcasty a dalsi podobny veci.

Mimochodem, pokud si chces usetrit problemy, dela se to tak, ze pouzijes ipv6 only komunikaci (klidne uvnitr ipv4, kdyz to jinak nejde), protoze se tak vyhnes neresitelnym kolizim s okolnima sitema.

Jup a i widle umi ipsec nativne. Jen je treba trochu pocist(nikoli u M$, tam se nic nedovis) dostatecna hladina alkoholu v krvi (bez toho se ani nepokousej) a pak se to da s pomoci powershellu rozjet.

Re:WireGuard na Windows s více klienty
« Odpověď #6 kdy: 29. 03. 2024, 20:33:53 »
Kdyz jsme u tech dojmu, tak ten muj je, ze bych si jako prvni zkontroloval, zda je na tom WinServeru je zapnuty packet forwarding.

Děkuji,  bylo to tím, že nemám povolený forward.  Kdyby někdo narazil na tuto konverzaci tak pak stačí jít do registru na WIN. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters a změnit nebo založit IPEnableRouter = 1

Re:WireGuard na Windows s více klienty
« Odpověď #7 kdy: 29. 03. 2024, 21:10:46 »
Děkuji,  bylo to tím, že nemám povolený forward.  Kdyby někdo narazil na tuto konverzaci tak pak stačí jít do registru na WIN. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters a změnit nebo založit IPEnableRouter = 1

A nebo prostě povolit systémovou službu „Routing and Remote Access“ přes services.msc