WireGuard a vnitřní LAN

[vpn22]

Problém je, že modem má pouze routu pro svoji lokální síť 192.168.2.0/24, která je dostupná přes bridge rozhraní (LAN porty modemu) a pak už má jen výchozí routu, která je směřovaná přes LTE síť. Jinak řečeno, modem ví jen o adresách ze sítě 192.168.2.0/24 a ví, že tyto adresy jsou dostupné přes jeho LAN a všechny oststní adresy posílá přes LTE rozhraní pryč.

Pokud posíláš z venku přes VPN (zdrojová IP je ze sítě 10.100.100.0/24) packet na adresu modemu (192.168.2.1), tak ASUS ví, kam ho má poslat, protože jde do přímo připojené sítě. Na modem se packet dostane. Problém je ale na modemu, te  totiž neví, kde síť 10.100.100.0/24 je, nemá pro ni ve své routovací tsbulce specifuikou routu, proto použije výchozí routu a pošle ji skrze LTE síť, kde je packet s největší pravděpodobností zahozen.

Proč to funguje z lokální sítě ASUS routeru 192.168.1.0/24, když ani tu nemá Huawei ve směrovací tabulce? Protože se NATuje. Packety ze sítě 192.168.1.0/24, které jdou přes WAN se překládají na zdrojovou IP 192.168.2.199 (WAN ASUS) a tuto IP modem zná a ví, že cesta k ní je přes jeho vlastní LAN interface.

Jaké je řešení?

1) Buď do nodemu přidat statickou routu 10.100.100.0/24 přes 192.168.2.199. (A pak ještě asi bude potřeba upravit FW pravidla, aby tento příchozí provoz nezahazoval nebo ideálně, nachat dělat NAT jen modem a na ASUS mít jen WireGuarda)

2) Alternativně na ASUS nastavit, aby se NAToval i provoz z 10.100.100.0/24, který jde na 192.168.2.0/24. Pro modem se bude tento rozsah skrývat za adresou 192.168.2.199 a tu zná.

[Reklama]

[vpn22]

Omluva za překlepy, psal jsem z mobilu a opravovat se mi to už nechce. :/

[nicon]

Moc dekuji, jak to pises dava mi to vse smysl. Jinak jsem ted zkousel do modemu dat routu pres ip route add 10.100.100.0/24 via 192.168.2.199. Routa se pridala,firewally modemu i routeru vypnute a stale nic . Nemel bych zacit tim ze se z modemu nepingnu do site 192.168.1.0/24? Nejdal se dopingnu na 192.168.2.199. Zkousel jsem modemu dat routu 192.168.1.0/24 via 192.168.2.199 nebo i 2.1 ale proste nepingnu sit 192.168.1.0/24 pritom modem je pripojen naprimo s routerem, uz fakt nevim.

[nicon]

Kdyz ted pominu uplne VPN tak mi to pripada,kdyz se v lokale pingujun z modemu na asus router,jelikoz se dopingnu jen na 192.168.2.199 coz je WAN port asus routeru,tak dal to asus neumi prenatovat zpet vlastne z druhe strany do sve podsite 192.168.1.0/24

[vpn22]

Pokud má modem routu na 192.168.1.0/24 a stejně to nejde, tak asi bude problém na ASUS routeru. Lze na modemu spustit traceroute? Lze na ASUS zapnout log firewallu?

Ještě bych zkusil nastavit NAT i pro síť 10.100.100.0/24. Pak by měl začít fungovat přístup z VPN na modem.

Není možné vypnout na ASUS NAT?

Nebo dát fyzické porty do bridge a routovat jenom mezi LAN a WireGuardem?

[Reklama]

[nicon]

Modemu jsem dal routu s branou 192.168.2.199 do 192.168.1.0/24. Traceroute na modemu jde,ale bezvysledne hned prvni hop mam hvezdicky,takze nic. Logovat firewall na asusu i presto ze mam firewall na asusu vypnuty? Natovani na wan portu na Asusu vypnout lze, zkousel jsem dat modemu ip ze site 192.168.1.0/24 ale kdyz jsem ho nechal ve wanu,tak tam byl problem,ze jsem se bud nedostal do modemu nebo nesel net ted uz nevim,ale jeste znova tento setup doma pak vyzkousim.

Samozrejme kdyz jsem dal modem do lanu Asusu tak vse v pohode az na to ze samozrejme nesel net.

Jak to myslis nastavit NAT i pro síť 10.100.100.0/2 kde a jak?


Modem jsem v bridge mel s tim ze venkovni ip adresa od ips byla na wanu asusu vse fungovalo,ale stejne jsem se pres wireguard na modem nedostal. Ping jsem z vnitrni LAN  z modemu na asus tenkrat nezkousel. Ale mam dojem,ze pokud jsem dal modemu v bridgu ip ze 192.168.1.0/24 tak to cele nefungovalo,musel jsem nechat natovat asus a modemu dat 192.168.2.1.


Jinak jeste koukam v nastaveni routeru je v zalozce WAN pruchod nat mam jednu vec zakazanou jestli to muze mit vliv a t PPPoE relay?

[nicon]

Tak jsem zkusil uz asi uplne vse a proste to nefunguje. Zkousel jsem modemu dat 192.168.1.3 pak ho dat do bridge a na asusu vypnout natovani na WANu, pak mu nastavit na WANu automatickou ip a asus rve ze internet nefunguje neb dhcp poskytovatele asi nefunguje. Pokud dam modemu 192.168.2.1 dam ho do bridge na asusu necham natovat WAN a dam automatickou ip pak je vse v poradku a asus dostane vnejsi IP poskytovatele,ale jinak jsem na tom s pristupem z WG na modem nebo ping z vnitrni LAN z modemu na asus router stale stejne a nefunguje to. Je to fakt zvlastni. Kdyz dam modemu 192.168.1.3 a pripojim ho na WAN a tomu vypnu NAT tak nic nefunguje. Pokud modem zapojim do LAN routeru pak se na modem dostanu,ale zase nejde internet ikdyz dam vylozene asus routeru routu na primo modem 192.268.1.3. Takze jedina moznost na co jsem prisel jak se z venku dostat na modem je pres WG a ssh se prihlasim na asus router a od tama se telnetnu na modem a tam pak pripadne muzu dat reboot modemu z prikazove radky. Nebo druha moznost se mi podarilo routnout modem s tim,ze by tam melo jit doinstalovat WG klienta a napijit tak modem primo do WG. Ale stale me mrzi ,ze jsem to nerozbehal viz vyse

[vpn22]

Soustředil bych se na ten nejméně pracný způsob a nastavil NAT i pro síť 10.100.100.0/24. Jak máš nyní NAT nastavený?

Kód: [Vybrat]

iptables -t nat -L -v -n

[fidko2000]

Standardne SOHO routre maju jedno rozhranie (WAN) do internetu a 4 pre lokalnu siet (LAN). Na strane WAN je prevazne dhcp client/pppoe client, ktory ziskava ip adresu z nadradeneho zariadenia (prevazne ISP), firewall, nat, a pod. Na strane LAN su poskytovane sluzby dhcp server, lokalny dns preklad, a pod. Si spominal, ze ked pripojis modem do LAN casti a nastavis Asusu ip adresu 192.168.1.3 alebo 192.168.1.10 tak sa na modem cez WG dostanes. Jedine co potrebujes je nastavit dhcp server s podsietou 192.168.1.0/24 a poolom napr. 192.168.1.100-200, gw 192.168.1.1, dns 8.8.8.8. Na sieti moze byt iba jeden dhcp server. Ak vie pridelovat modem adresy cez dhcp tak ho nastav na modeme, ak nie tak na Asuse. Ak ho budes nastavovat na Asus-e, je potrebne aby dhcp server oznamoval defaltnu gw modemu (192.168.1.1) a nie adresu Asusu (192.168.1.3 alebo 192.168.1.10), inac by to nefungovalo.
Teoreticky si to vies otestovat tak, ze ak urobis vyssie spomenute zatial bez dhcp servera, nastavis staticku ip adresu na nejakom zariadeni na napr. 192.168.1.15/24 a defaltnu gw 192.168.1.1, dns 8.8.8.8, tak by sa ti mal rozbehnut internet a tiez by si mal vediet pristupovat na dane zariadenie cez WG.

[nicon]

Výpis iptables z Asus routeru:

Kód: [Vybrat]

iptables -t nat -L -v -n

Chain PREROUTING (policy ACCEPT 421 packets, 76807 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 GAME_VSERVER  all  --  *      *       0.0.0.0/0            192.168.2.199
    0     0 VSERVER    all  --  *      *       0.0.0.0/0            192.168.2.199

Chain INPUT (policy ACCEPT 180 packets, 11168 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 118 packets, 8676 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 115 packets, 8364 bytes)
 pkts bytes target     prot opt in     out     source               destination
  211 41279 PUPNP      all  --  *      eth4    0.0.0.0/0            0.0.0.0/0
   99 33845 MASQUERADE  all  --  *      eth4   !192.168.2.199        0.0.0.0/0
    3   312 MASQUERADE  all  --  *      br0     192.168.1.0/24       192.168.1.0/24

Chain DNSFILTER (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain GAME_VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain LOCALSRV (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain MAPE (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain PCREDIRECT (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain PUPNP (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 VUPNP      all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain VUPNP (1 references)
 pkts bytes target     prot opt in     out     source               destination


[nicon]

Standardne SOHO routre maju jedno rozhranie (WAN) do internetu a 4 pre lokalnu siet (LAN). Na strane WAN je prevazne dhcp client/pppoe client, ktory ziskava ip adresu z nadradeneho zariadenia (prevazne ISP), firewall, nat, a pod. Na strane LAN su poskytovane sluzby dhcp server, lokalny dns preklad, a pod. Si spominal, ze ked pripojis modem do LAN casti a nastavis Asusu ip adresu 192.168.1.3 alebo 192.168.1.10 tak sa na modem cez WG dostanes. Jedine co potrebujes je nastavit dhcp server s podsietou 192.168.1.0/24 a poolom napr. 192.168.1.100-200, gw 192.168.1.1, dns 8.8.8.8. Na sieti moze byt iba jeden dhcp server. Ak vie pridelovat modem adresy cez dhcp tak ho nastav na modeme, ak nie tak na Asuse. Ak ho budes nastavovat na Asus-e, je potrebne aby dhcp server oznamoval defaltnu gw modemu (192.168.1.1) a nie adresu Asusu (192.168.1.3 alebo 192.168.1.10), inac by to nefungovalo.
Teoreticky si to vies otestovat tak, ze ak urobis vyssie spomenute zatial bez dhcp servera, nastavis staticku ip adresu na nejakom zariadeni na napr. 192.168.1.15/24 a defaltnu gw 192.168.1.1, dns 8.8.8.8, tak by sa ti mal rozbehnut internet a tiez by si mal vediet pristupovat na dane zariadenie cez WG.

Právě, že když modem dám do LAN routeru a dám mu něco z 192.168.1.0/24 tak nejde internet vubec. Internet mi funguje jen s 2 konfiguracemi. Když router na WANu natuje na modem, který je v jiné podsíti nebo když nechám modemu jinou podsíť a přepnu ho do bridge a na routeru na WANu nastavím automatická IP. Na modem se z venku přes WG nedostanu nikdy.

[nicon]

OPRAVA, při tom vším zkoušením jsem neměl WG aktivní, tady je to komplet:

iptables z ASUS routeru

Kód: [Vybrat]

iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 24673 packets, 4129K bytes)
 pkts bytes      target     prot opt in     out        source               destination                                                                             
    0     0         DNSVPN10   tcp  --  *      *       0.0.0.0/0       0.0.0.0/0   tcp dpt:53
 1385 99659   DNSVPN10   udp  --  *      *      0.0.0.0/0       0.0.0.0/0 udp dpt:53
    0     0        GAME_VSERVER  all  --  *      *  0.0.0.0/0       192.168.2.199
    0     0        VSERVER    all  --  *      *          0.0.0.0/0       192.168.2.199

Chain INPUT (policy ACCEPT 5850 packets, 432K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain OUTPUT (policy ACCEPT 3771 packets, 429K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain POSTROUTING (policy ACCEPT 3397 packets, 389K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                             
    0     0 MASQUERADE  all  --  *      wgc5   !10.100.100.2         0.0.0.0/0                                                                               
 4946  626K PUPNP      all  --  *      eth4    0.0.0.0/0            0.0.0.0/0                                                                               
 2081  417K MASQUERADE  all  --  *      eth4   !192.168.2.199        0.0.0.0/0                                                                               
  405 42568 MASQUERADE  all  --  *      br0     192.168.1.0/24       192.168.1.0/24

Chain DNSFILTER (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain DNSVPN10 (2 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain GAME_VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain LOCALSRV (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain MAPE (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain PCREDIRECT (0 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain PUPNP (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             

Chain VSERVER (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                             
    0     0 VUPNP      all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                               

Chain VUPNP (1 references)
 pkts bytes target     prot opt in     out     source               destination



[jjrsk]

Jezkovi voci, to tady jeste porad resite? Ja to teda nebudu procitat cely, ale napadlo te treba, ze ta krabice miva typicky nejaky nastaveni na tema ze pripojit se muzes jen z nejakych IPcek, defaultne tech, ktery jsou na vnitrnim rozhrani?