Есть настроенная vpn сетка на wireguard, скажем *.*.11.11, и 11.12
За каждым vpn клиентом стоит сетка 21.* и 22.*
прописан статический роутинг 21.* через 11.11 и 22.* через 11.12
Из основной сетки я нормально могу попасть как в сетку 21.* так и 22.*
Но я не могу попасть из одной vpn сети в другую.
трасероут доходит до основного маршрутизатора, и попадает в бесконечное *
Есть динамическое правило, что вся сетка 11.* уходит в интерфейс wireguard.
Вот тут вот похоже и происходит затык, все что пришло из wireguard туда же завернулось и не вернулось :)
Роутинг между клиентами wireguard
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
allowed-addresses как заданы для peer'ов?
И на микротике и на остальных.
И на микротике и на остальных.
Telegram: @thexvo
-
retom
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Поставлю реальные адреса, так что бы не запутаться :)
Основной роутер с адресами 210.0/24, в vpn адрес 211.1
Прописан статичный роутинг на подсетку 212.0/24 через 211.52
На пире с ключем для 52 allowed 211.52 + 212.0/24
Есть подсетка 212.0/24 со своим выходом в инет. в vpn у нее адрес 211.52 На пире у нее стоит Allowed 211.0/24 + 210.0/4
Есть телефон который подключается в vpn и имеет адрес 211.2, allowed 0.0.0.0/0 те весь трафик через vpn
Могу спокойно достучаться до любого адреса в 212.0 из любого в сетке 210, и наоборот.
Но телефон с адресом 211.xxx (из vpn) видит нормально все что в 210 есть выход в инет, но не может достучаться до 212.0
tracerout говорит что доходит до 210.1 и дальше только звездочки.
tracerout с любого устройства в сети 210.0 работает, но traceroute с роутера 210.1 не работает ни с какого интерфейса
Основной роутер с адресами 210.0/24, в vpn адрес 211.1
Прописан статичный роутинг на подсетку 212.0/24 через 211.52
На пире с ключем для 52 allowed 211.52 + 212.0/24
Есть подсетка 212.0/24 со своим выходом в инет. в vpn у нее адрес 211.52 На пире у нее стоит Allowed 211.0/24 + 210.0/4
Есть телефон который подключается в vpn и имеет адрес 211.2, allowed 0.0.0.0/0 те весь трафик через vpn
Могу спокойно достучаться до любого адреса в 212.0 из любого в сетке 210, и наоборот.
Но телефон с адресом 211.xxx (из vpn) видит нормально все что в 210 есть выход в инет, но не может достучаться до 212.0
tracerout говорит что доходит до 210.1 и дальше только звездочки.
tracerout с любого устройства в сети 210.0 работает, но traceroute с роутера 210.1 не работает ни с какого интерфейса
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Выглядит вроде правильно вполне.
На втором роутере на туннеле /32 маска?
На втором роутере на туннеле /32 маска?
Telegram: @thexvo
-
retom
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
В этом мануале, рекомендуют сделать такую запись, у меняя ее нет.
https://help.mikrotik.com/docs/display/ROS/WireGuard
https://help.mikrotik.com/docs/display/ROS/WireGuard
-
retom
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Правильный ли у меня tracerout?
Я делаю из домашней сети в сетку за vpn
1 router.home [192.168.210.1]
2 192.168.211.52
3 192.168.212.23
между 2 и 3 не должен ли стоять адрес 212.1?
Я делаю из домашней сети в сетку за vpn
1 router.home [192.168.210.1]
2 192.168.211.52
3 192.168.212.23
между 2 и 3 не должен ли стоять адрес 212.1?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
retom
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
роутер который стоит vpn имеет два бриджа, у каждого своя подсетка 200.* и 212.*
часть портов в 200 а часть в 212
200 сетка имеет локальный выход в инет и свой маскарадинг на wan
а в 212 весь трафик идет через vpn на другой роутер в сетке 210.*
все настройки кроме маскарадинга полностью симметричные.
Но из 210 сети я могу зайти на роутер и пингнуть 212.1 а вот если 200.1 не пингается и не заходиться.
в сетке 210 роутинг и на 200 и 212 прописан и пирах все разрешено.
Как определяетя в какой бридж отправить пакет по маске?
Почему у меня для бриджа адрес надо написать как /24 если делаю /32 не работает?
часть портов в 200 а часть в 212
200 сетка имеет локальный выход в инет и свой маскарадинг на wan
а в 212 весь трафик идет через vpn на другой роутер в сетке 210.*
все настройки кроме маскарадинга полностью симметричные.
Но из 210 сети я могу зайти на роутер и пингнуть 212.1 а вот если 200.1 не пингается и не заходиться.
в сетке 210 роутинг и на 200 и 212 прописан и пирах все разрешено.
Как определяетя в какой бридж отправить пакет по маске?
Почему у меня для бриджа адрес надо написать как /24 если делаю /32 не работает?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А почему должно?
/32 это либо loopback, либо ptp, если в качестве сети другой адрес задан.
По основному вопросу - смотрите, чтобы например маскарад случайно на туннель не работал.
Telegram: @thexvo
-
retom
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Так я и не победил роутинг между пирами wiregaurd :(
Такое ощущение что, если пришло из интерфейса VPN то может пойти куда угодно, только не в VPN
Должен ли у меня с роутера проходит пинг до IP адреса пира wiregaurd?
Если я делаю пинг из локальной сети то пинг есть, если делаю пинг с роутера то нету.
Такое ощущение что, если пришло из интерфейса VPN то может пойти куда угодно, только не в VPN
Должен ли у меня с роутера проходит пинг до IP адреса пира wiregaurd?
Если я делаю пинг из локальной сети то пинг есть, если делаю пинг с роутера то нету.