1. Mam sobie router "stary" na Openwrt 23.ilestam i na nim wireguard serwer (już od wersji gdzieś 20.ilestam konfig importowany przy upgrade i działało) do którego łączy(łem) się z świata z komórki i laptopa - elegancko działało, po włączeniu wg na kliencie miałem elegancko dostęp do sieci LAN, do wszystkich adresów w niej.
2. Zmieniam router, na nowym czysty obraz Openwrt 24.10.3 i instaluje wszystko to samo co na starym miałem... Ponieważ mam luksus kilku publicznych IP, to oba routery (Stary i Nowy) podpięte równocześnie, adresy "obok siebie" i oba podpięte do tej samej sieci LAN. Stary:
WAN 85.53.13.107 LAN 192.168.1.1/24 WG0 10.0.1.1/24 I klienci WG np. 10.0.1.2, 10.0.1.3 itd Nowy:
WAN 85.53.13.108 LAN 192.168.1.5/24 WG0 10.0.2.1/24 I klienci WG np. 10.0.2.2, 10.0.2.3 itd 3. Konfigi w zasadzie przeniosłem 1:1 między routerami, tylko zmieniając adresy IP, i generując nowe klucze. Na urządzeniach mam po prostu po dwa Wireguard i mogę połączyć się z jednym i drugim, do wyboru.
4. No i teraz zagadka: Łącząc się z starym - mam dostęp do routera i do hostów w sieci LAN. Łącząc się z nowym - mam dostęp tylko do routera. Mogę z klienta pingowac adres interfejsu wg0 (10.0.2.1), ale też mogę pingowac adres lan routera 192.168.1.5. ale żadnego innego IP z sieci 192.168.1.x... Tak jakby nie było routingu między strefa WG a LAN - no ale jest (przecież widzę co mam w luci i co mam w /etc/config/firewall) accept na in/out/forward lan-wg, dokładnie tak samo jak w starym routerze. A nie działa...
Więc w skrócie - nie wiem co się mogło zmienić w Openwrt z 23.8.x na 24.10.3, że ten sam konfig routingu nie działa. Chyba że ktoś ma pomysł co mogę jeszcze sprawdzić/co powinno być ustawione w takim przypadku...
@hrumque: Jedno błache pytanie. Czy po zadaniu konfiguracji chociażby zrestartowałeś usług: firewall i network? zrestartowałeś interfejs wireguarda po skonfigurowaniu na nowym routerze? ew. zrestartowałeś router? Czy nie kopnąłeś się chociażby w AllowedIPs "na obydwóch końcach" konfiguracji Wireguarda?
@hrumque to nie rozwiązanie problemu, ale ciekawostka. U mnie przy podobnej zmianie widać tylko część adresów w lan 🤣 Już chyba bym wolał nic, bo łatwiej szukać o co chodzi.
@hrumque: no a jak łączysz klientów. Podejrzewam że albo konfig nie jest 1:1 ale nie mówię o samym wg tylko o całym routerze. Możesz dać wynik ip route show table main oraz pokaż firewall. Dla WireGuard ma generowałeś nowe konfigi dla klienta z nowymi kluczami i ustawieniami? Akurat też korzystam z openwrt i WireGuard (najlepsza klasyka), lecz tego bajeru nie włączałem, bo bałem się mieć serwer wg na już i
no a jak łączysz klientów. Podejrzewam że albo konfig nie jest 1:1 ale nie mówię o samym wg tylko o całym routerze.
no cały router to by się nie dało, bo jest nawet inna architektura, kopiowałem tylko pliki typu /etc/conf/network, firewall, samba4, dhcpd itp, z zmianą drobną adresacji (zamiast 192.168.1.1 jest 192.168.1.5, tymczasowo wyłączony dhcp dla lan, by nie było dwóch w jednej sieci, itp)
@hrumque: Hmm to chyba nie wygląda najgorzej. Mógłbyś przetestować chociaż nie polecam, ale ja szczerze bym tak zrobił najwyżej później sobie go od nowa postawił, ale aby mieć pewność czy to nie wina firewall to zrobić: /etc/init.d/firewall stop
i zobaczyć czy ten ping zadziała Ci wtedy. Wtedy już będzie jakiś trop
Wszystko było dobrze, tyle że klienci w LAN mieli ciągle ustawione prawidłowo, że router 192.168.1.1 jest bramą domyślną. Więc na wszelkie próby komunikacji spoza sieci LAN (z wireguarda z drugiego routera, 192.168.1.5) odpowiadały/próbowały odpowiadać (zgodnie z lokalnymi tablicami routingu) przez router pierwszy, 192.168.1.1, co oczywiście nie miało sensu...
Gdy zamieniłem adresację routerów po stronie LAN (ten nowy ustawiłem jako domyślną bramę) to wszystko ruszyło przez
1. Mam sobie router "stary" na Openwrt 23.ilestam i na nim wireguard serwer (już od wersji gdzieś 20.ilestam konfig importowany przy upgrade i działało) do którego łączy(łem) się z świata z komórki i laptopa - elegancko działało, po włączeniu wg na kliencie miałem elegancko dostęp do sieci LAN, do wszystkich adresów w niej.
2. Zmieniam router, na nowym czysty obraz Openwrt 24.10.3 i instaluje wszystko to samo co na starym miałem... Ponieważ mam luksus kilku publicznych IP, to oba routery (Stary i Nowy) podpięte równocześnie, adresy "obok siebie" i oba podpięte do tej samej sieci LAN.
Stary:
WAN 85.53.13.107LAN 192.168.1.1/24
WG0 10.0.1.1/24
I klienci WG np. 10.0.1.2, 10.0.1.3 itd
Nowy:
WAN 85.53.13.108LAN 192.168.1.5/24
WG0 10.0.2.1/24
I klienci WG np. 10.0.2.2, 10.0.2.3 itd
3. Konfigi w zasadzie przeniosłem 1:1 między routerami, tylko zmieniając adresy IP, i generując nowe klucze. Na urządzeniach mam po prostu po dwa Wireguard i mogę połączyć się z jednym i drugim, do wyboru.
4. No i teraz zagadka:
Łącząc się z starym - mam dostęp do routera i do hostów w sieci LAN.
Łącząc się z nowym - mam dostęp tylko do routera. Mogę z klienta pingowac adres interfejsu wg0 (10.0.2.1), ale też mogę pingowac adres lan routera 192.168.1.5. ale żadnego innego IP z sieci 192.168.1.x...
Tak jakby nie było routingu między strefa WG a LAN - no ale jest (przecież widzę co mam w luci i co mam w
/etc/config/firewall) accept na in/out/forward lan-wg, dokładnie tak samo jak w starym routerze. A nie działa...#siecikomputerowe #linux
Czy po zadaniu konfiguracji chociażby zrestartowałeś usług: firewall i network? zrestartowałeś interfejs wireguarda po skonfigurowaniu na nowym routerze? ew. zrestartowałeś router?
Czy nie kopnąłeś się chociażby w AllowedIPs "na obydwóch końcach" konfiguracji Wireguarda?
no cały router to by się nie dało, bo jest nawet inna architektura, kopiowałem tylko pliki typu /etc/conf/network, firewall, samba4, dhcpd itp, z zmianą drobną adresacji (zamiast 192.168.1.1 jest 192.168.1.5, tymczasowo wyłączony dhcp dla lan, by nie było dwóch w jednej sieci, itp)
/etc/init.d/firewall stop
i zobaczyć czy ten ping zadziała Ci wtedy. Wtedy już będzie jakiś trop
Wszystko było dobrze, tyle że klienci w LAN mieli ciągle ustawione prawidłowo, że router 192.168.1.1 jest bramą domyślną.
Więc na wszelkie próby komunikacji spoza sieci LAN (z wireguarda z drugiego routera, 192.168.1.5) odpowiadały/próbowały odpowiadać (zgodnie z lokalnymi tablicami routingu) przez router pierwszy, 192.168.1.1, co oczywiście nie miało sensu...
Gdy zamieniłem adresację routerów po stronie LAN (ten nowy ustawiłem jako domyślną bramę) to wszystko ruszyło przez
Mogą być - to prostsze, ale nie muszą jeśli są odpowiednie regułki dopuszczające ruch