WireGuard a vnitřní LAN

[nicon]

Ahoj, chci se zeptat kde dělám chybu. Mám VPS, které si platím s veřejnou IP a na něm Wireguard. Doma mám modem se SIM a do něj napojen ASUS router kde běží Wireguard klient. Na vnitřní LAN doma se z venku dostanu, jediné co mi nefunguje je, že se z venku nedostanu na ten modem se SIM. Modem má 192.168.2.1 a ASUS router napojen do něho má 192.168.1.1. Modem je napojeny do WAN Asus routeru a vnitřní WAN Asus routeru mám 192.168.2.199 a výchozí bránu nastavenou na ten modem tj. 192.168.2.1. Na tu WAN Asusu 192.168.2.199 se ještě dostanu, ale na ten modem 192.168.2.1 už ne. Firewall jsem zkoušel všude vypnout a nic. Přes traceroute když dám vnitřní LAN tak v pohodě mi to jde přes VPS kde je Wireguard, pak do ASUS routeru kde je WG klient a pak přímo na PC ve vnitřní LAN, ale když dám ten modem tak to skonční na WG v routeru a pak už neví kam.

WG SERVER na VPS:

[Interface]

Address = 10.100.100.1/24

SaveConfig = true

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enx5 -j MASQUERADE

PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enx5 -j MASQUERADE

ListenPort = .....

FwMark = 0xca6c

PrivateKey = .........

[Peer]

PublicKey = ....

AllowedIPs = 10.100.100.2/32, 192.168.1.0/24, 192.168.2.0/24

Endpoint =.......

[Peer]

PublicKey = .....

AllowedIPs = 10.100.100.3/32

Endpoint = ......

WG klient na ASUS routeru:

[Interface]

PrivateKey = ......

Address = 10.100.100.2/24

[Peer]

PublicKey = ......

AllowedIPs = 10.100.100.0/24

Endpoint = ......

PersistentKeepalive = 21

WG klient na mobilu:

[Interface]

PrivateKey = ......

Address = 10.100.100.3/24

[Peer]

PublicKey =.....

AllowedIPs = 10.100.100.0/24,192.168.1.0/24

Endpoint = .......

PersistentKeepalive = 21

[Reklama]

[tennyson.acie]

To by ten WireGuard Klient musel běžet přímo na LTE modemu, aby ses dostal na jeho webové rozhraní. Případně použít LTE modem, který má možnost správy přes cloud (typicky TP-Link a appka Tether).

[nicon]

Ja jsem myslel,ze me tam chybi nejaka routa. Kdyz jsem klasicky na wifi toho routeru,tak se tam na modem v pohode dostanu. A z venku se dostanu az na tu ip na WANu routeru 192.168.2.199 tam me ping funguje, ale dal na ten modem kde je 192.168.2.1 uz ne. Skoda myslel jsem ze to bude vse fungovat jako bych byl na vnitrni LAN

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Takový setup mám já. Je nutné mimo jiné( na VPS routa na vnitřní síť a pravidla iptables FORWARD pro každý směr na VPS a modemu  a asi i obvyklé je mít speciální síť  mezi VPS a routerem například 10.0.0.1 peer 10.0.0.2/24  a obráceně ip addr add 10.0.0.2 peer 10.0.0.1/24  a ještě je nutné mít u allowed-ips na straně modemu 0.0.0.0/1 a 128.0.0.0/1 aby modem-wireguard akceptoval pakety z wg rozhraní z src ip z divokého internetu)
mít port forwarding na VPS  jinak VPS nemá důvod směrovat provoz na router nebo síť za routerem :
iptables -A PREROUTING -p tcp -m tcp --dport x25x -j DNAT --to-destination 10.0.0.1:8025



....(nebo máš snad snad na VPS blok IP adres nebo IPv6?) pak není nutné dělat tu šaškárnu s port forwardingem , ale něco čistšího (mám okno, snad někdo poradí co to bude: source routing, DNAT bez uvedení portu nebo co )?


hint 1: iptables -A POSTROUTING -o wg -j TTL --ttl-dec 1 - uvidíš hopy navíc(nevím  zda to patří na vps nebo router) - není nutné pro funkčnost, ale pro výpis hintu 2
hint2 : zkus sudo traceroute  -T --port=xyz poté co si přidáš port forwarding  na port xyz na router  a potom port forwarding na  zařízení v vnitřní síti 
hint 3: ještě se hodí iptables -j TCPMSS, ne vždy se funguje PMTU mechanismus (typicky, když forwarduješ právě na server v své síti - to zařízení si u TCP odpovědi hodí plné MTU, netuší, že paketu půjde tunelem)

[nicon]

Ted nevim jestli rozumim. Modem WG klienta nema je jen napojeny fo routeru .Z mobilu se dostanu na vsechny zarizeni ve vnitrni siti 192.168.1.0/24. Nedostanu se jen na ten modem 192.168.2.1.

[Reklama]

[fidko2000]

Aké máš asi moznosti:
1. Vymeniť zariadenie (modem so SIM-kou) za niečo,čo vie wireguard
2. Prihlasovať sa na rozhranie modemu z lokalky.Cez tunel WG sa pripojíš na zariadenie pomocou napr. RDP/telnet/ssh za Asus routrom ( podsiet 192.168.1.0/24) a následne sa prihlásiš na rozhranie modemu (web,ssh)
Ak máš za Asusom zariadenie s ssh službou,tak je to jeden príkaz
3.osobne si myslím,že tvoja požiadavka cez WG na ten modem príde,ale ju už neodosiela spätne na WAN internterfejs na Asus router.Da sa to urobiť,ale potrebuješ mat ako modem zariadenie s RouterOS/Openwrt a pod.

[nicon]

Aha, tomu rozumim,jsem se s tim mordoval zbytecne, moc dekuji👍

[CFM]

Takové hloupé otázky: Proč není modem přímo v 192.168.1.0/24 (asi by se tím celá věc zjednodušila)? Kdo dělá firewall/NAT do internetu - modem nebo ASUS? Je možné na modemu a ASUSu přidávat statické routy? Ze strojů přímo v 192.168.1.0/24 se na ten modem lze dostat?

[nicon]

Staticke routy lze na Asus routeru pridat. Na modemu nikoliv. Modem mi nesel dat na 192.168.1.0/24 nerozbehal jsem pak internet ikdyz jsem na wan portu asusu vypnul natovani tak to nefungovalo.. Nat je na Wan portu Asusu a pak je nat na modemu do internetu. Firewall mam zapnuty jak na modemu tak i asusu, ale ikdyz je oba vypnu nic se nezmeni co se tyka pristupu na modem pres WG. Jinak z vnitrni site napr. z pc 192.168.1.100 se v pohode dostanu na modem 192.168.2.1

[CFM]

No osobně mi není jasné, jak ten modem ví, že 192.168.1.0/24 má posílat na ASUS, když tam není statická routa. Pomohly by nějaké detaily z nastavení obou krabiček - výpisy/schreenshoty a jejich konkrétní typ ... asi tam budou nějaké podivnosti, když to nešlo všechno v jednom subnetu a musel se přidat další.

[Martin-2]

Pokud budem předpokládat že allowed IPs a Firewall máte v pořádku tam tam chybí pouze statická routa pro modem tj. 192.168.2.1.

Prostě z wireguardu (remote) dorazí požadavek na IP modemu, ten je zpracuje a odešle zpět, ale router už netuší kam tu odpověd z modemu poslat. Přídejte routu 192.168.2.1 na bránu wireguardu routeru (případně směrovat na VPS kdyby to nešlo).

Toto bude nejpravděpodobnější problém

[nicon]

Kdyz dam na wan portu modem kteremu dam 192.168.1.2 a vypnu nebo zapnu na wan portu NAT tak se na modem nedostanu z routeru ktery ma 192.168.1.1, ale kdyz zapojim modem do lan portu routeru tak se na modem dostanu,ale nejde samozrejme internet. Jeste me napadlo zda ho teda nenechat na lan portu a dopsat nejak do statistickeho dmerovani ze ma pouzivat jako branu ten modem 192.168.1.2, ale nedari se mi to. Mam tam moznosti Sitova/hostitelska IP pak maska site, brana,metric a rozhraní kde mam na vyber lan,man,wan,vpn

[metabug]

No osobně mi není jasné, jak ten modem ví, že 192.168.1.0/24 má posílat na ASUS, když tam není statická routa.

Modem to řešit nemusí, protože ten provoz stejně bude (měl by být) zanatovaný tím Asusem.

Pro tazatele:
Mohl bys sem poslat výpisy routovacích tabulek (ip route show) z Asusu a různých klientů?

Na Asusu ti běží tovární firmware, nebo tam máš OpenWrt? Jde se do něj přihlásit a spustit tam tcpdump?

[nicon]

Zkousel jsem staticke smerovani dat na asus na branu 192.168.1.2 (modem nove)  a na Sitova/hostitelska  IP 192.168.1.1 (asus) a internet nejde. Tak jsem to vratil vse na puvodni tzn do wanu a ip zpatky modemu na 192.168.2.1 a zkusil jsem jeste ve WG Asusu dat smerovani 192.168.1.0/24 na 192.168.2.0/24 a stale nic. Paket se zastavi na IP WAN Asusu ktery je zpatky nastaveny na 192.168.2.199

[nicon]

Na Asusu mam Merlina to je myslim na bazi openwrt, jak budu doma zkusim ten tcpdump a hodim ty vypisy