WireGuard a vnitřní LAN

[nicon]

Tak tady je výpis z ip route show


default via 192.168.2.1 dev eth4
1.0.0.1 via 192.168.2.1 dev eth4 metric 1
1.1.1.1 via 192.168.2.1 dev eth4 metric 1
10.100.100.0/24 dev wgc5 proto kernel scope link src 10.100.100.2
127.0.0.0/8 dev lo scope link
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
192.168.2.0/24 dev eth4 proto kernel scope link src 192.168.2.199
192.168.2.1 dev eth4 proto kernel scope link

[Reklama]

[nicon]

Je to výpis z ASUS routeru, jinak TCPDUMP na něm spustit můžu

[nicon]

A tady je výpis ip route show z modemu

default via 10.64.64.1 dev eth_x
10.64.64.1 dev eth_x  scope link
169.0.0.0/8 dev br0  proto kernel  scope link  src 169.254.100.156
192.168.2.0/24 dev br0  proto kernel  scope link  src 192.168.2.1

[nicon]

zde je výpis z tcpdump když jsem zkoušel ping z venku na modem 192.168.2.1. IP VPS jsem nahradil - VPS server.

20:14:16.525132 STP 802.1d, Config, Flags [none], bridge-id 8000.e4:34:93:ba:a6:a1.8003, length 35
20:14:16.655123 ARP, Request who-has 192.168.2.199 tell 192.168.2.1, length 46
20:14:16.655164 ARP, Reply 192.168.2.199 is-at 24:4b:fe:c1:e4:20 (oui Unknown), length 28
20:14:17.040497 IP VPS server > 192.168.2.199.51961: UDP, length 128
20:14:17.117386 IP 192.168.2.199.51961 > VPS Server: UDP, length 32
20:14:18.066502 IP VPS server > 192.168.2.199.51961: UDP, length 128
20:14:18.525140 STP 802.1d, Config, Flags [none], bridge-id 8000.e4:34:93:ba:a6:a1.8003, length 35
20:14:19.051476 IP VPS server > 192.168.2.199.51961: UDP, length 128
20:14:20.065509 IP VPS server > 192.168.2.199.51961: UDP, length 128

[nicon]

ještě je tam tohle

20:14:14.548303 IP 192.168.2.199.35956 > static.127.132.203.116.clients.your-server.de.18000: Flags [P.], seq 21:25, ack 21, win 547, length 4
20:14:14.612700 IP 192.168.2.199.35956 > static.127.132.203.116.clients.your-server.de.18000: Flags [.], ack 25, win 547, length 0

20:14:09.869255 ARP, Request who-has 192.168.2.1 tell 192.168.2.199, length 28
20:14:09.869869 ARP, Reply 192.168.2.1 is-at e4:34:93:ba:a6:a1 (oui Unknown), length 46

[Reklama]

[nicon]

Přes ARP protokol jde na VPS server kde mi běží WG Server odpověď na dotaz když pinguju z mobilu kde je 192.168.2.1 mu vráti, že je na mac adrese modemu,mac adresa modemu je správná,ale nejsem síťař, tak nevím jak s těmi informacemi naložit.

[metabug]

Na tom ASUS routeru nevidím záznam v routovací tabulce pro WG síť.

Ten tcpdump spusť jako "tcpdump -i eth4 icmp" a pak z třeba mobilního zařízení zkus ping na modem.

[nicon]

na Asus routeru je tam tohle,firewall vypnuty na modemu, na routeru i na VPS, ping z mobilu s WG klientem na 192.168.2.1:


19:13:18.898510 IP 192.168.2.199 > one.one.one.one: ICMP 192.168.2.199 udp port 48675 unreachable, length 210
19:13:39.939800 IP 192.168.2.199 > one.one.one.one: ICMP 192.168.2.199 udp port 24053 unreachable, length 194
19:14:09.149235 IP 192.168.2.199 > one.one.one.one: ICMP 192.168.2.199 udp port 44670 unreachable, length 89

[nicon]

 zde je výpis na routeru na wireguard rozhraní,když pinguju z mobilu (10.100.100.3),= tcpdump - i wgc5 icmp


19:55:07.586048 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3429, seq 1                                                                             , length 64
19:55:08.587956 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3430, seq 1                                                                             , length 64
19:55:09.569112 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3431, seq 1                                                                             , length 64
19:55:10.607044 IP 10.100.100.3 > 192.168.2.1: ICMP echo request, id 3432, seq 1                                                                             , length 64

[mkaluza]

Je mozne v modeme pozriet nejake logy, nieco kde by bolo vidiet ci ten ping vobec dorazil? (ak ano a ping nedorazil router asus to tam vobec neposiela) a ak dorazil ci nema adresu zo siete WG (10.100.100.0/24)? Potom tu WG komunikaciu na ASUS routri neNATujes a ten modem tupa-soho krabicka jednoducho posle odpoved na GW od ISP, kedze tu siet WG nepozna... je mozne v tom modeme nastavit routovanie? A tym mu povedat o sieti WG? Ak ma modem viac LAN portov pripoj tam dalsie zariadenie a otestuj komunikaciu nan z WG siete, aby si sa niekam posunul...

[nicon]

Bohuzel zadne takove logy modem nema, zkousel jsem do jeho Lan portu pripojit jiny router a chova se to stejne z vnitrni Lan ho pingnu,ale z vnejsku pres WG ne. Jinak pres telnet se do modemu z vnitrni lan dostanu ip route show funguje, zda pridat routu pres prikaz nevim, max muzu pak doma vyzkouset nejaky prikaz na pridani routy a tcpdump tam neni a ani doinstalovat nejde.

Jinak pokud druhy router zapojim do Lan Asus routeru a dam mu ip z rozsahu asusu napr 192.168.1.3 tak se na neho v pohode z venku pres WG dostanu

[Martin-2]

Co to tedy udělat celé od začátku.
1) Na modemu (zatím nepadlo co to je za model) nastavte statickou IP 192.168.1.1 a na routeru Asus dejte 192.168.1.10

2) Na modemu dejte přidejte statickou IP pro Asus 192.168.1.10 a dejte do DMZ (tím bude ignorovaný firewall), dále vypněte veškeré filtry provozu, pak nastavte bridge/IP passtrough aby se na něm vypnul NAT a celý provoz končil na WAN routeru Asus.

Takto to bude na stejném rozsahu a bude to muset fungovat.

Sám mám na venkovních jednotkách jiný rozsah a WG funguje na pohodu ale musel jsem přidat routy aby se provoz vracel zpět do WG. Pokud se to stále nedaří začal bych od začátku a vyzkoušel například tuto alternativu. Jinak jak jsem psal předtím. Stačilo pouze přidat routy MODEMu zpět do WG a hotovo.

[nicon]

Diky,vyzkousim,jinak mam Huawei b525-a23 modem, mam tam flesnutou nejaky alternativni firmware,ktery mu pridal moznost bridge. To uz jsem mimo jine teda taky zkousel dat ho do bridge, asusu dat na wan automatickou ip tu dostal od isp ale na modem jsem se z wg nedostal. Myslim,ze zakopany pes bude v tom modemu a tim,ze neumi vratit odpoved jak jsi psals zpet do wg asusu. Otazka zda mu pujde pridat routu pres telnet neb v menu to nejde

[nicon]

Nemuzete mi prosim nekdo napsat spravny prikaz na pridani routy pro muj pripad at uz kdyz ma modem 192.168.2.1 tak kdyz pak zkusim i 192.168.1.10,diky, zkusim to modemu dat pres ten telnet rucne

[tennyson.acie]

Marně přemýšlím, k čemu celá ta snaha se vzdáleně dostat do modemu vlastně je, když je ten modem v bridge... A pokud náhodou tuhne a je potřeba restart na dálku, tak to by stejně vzdálený přístup nevyřešil (spíš nějaké GSM/LTE spínací hodiny, co ten modem odpojí na chvíli od napájení).