OpenWRT wireguard

0

2

Привет, ЛОР.
пытаюсь поднять wireguard VPN на OpenWRT.

конфиг интерфейса на OpenWRT:

config interface 'wg0'
	option proto 'wireguard'
	option private_key 'привкей openwrt'
	list addresses '10.120.120.121/32'

config wireguard_wg0 'wgserver'
	option public_key 'пабкей_сервера'
	option endpoint_host 'IPv4 сервера'
	option endpoint_port '443'
	option persistent_keepalive '25'
	option route_allowed_ips '1'
	list allowed_ips '0.0.0.0/0'
	list allowed_ips '::/0'

конфиг на сервере Wireguard для пира абсолютно стандартный, как и для других десятков пиров:

# turris
[Peer]
PublicKey = пабкей_openwrt
AllowedIPs = 10.20.120.121/32

хендшейк есть, соединение устанавливается, видно с обеих сторон:

peer: пабкей_openwrt
  endpoint: мой_внешний_IPv4:43525
  allowed ips: 10.20.120.121/32
  latest handshake: 10 seconds ago
  transfer: 443.28 KiB received, 2.32 MiB sent

до WG-сервера связность есть (очевидно, ведь прямой маршрут через WAN), однако, внешняя сеть не алё.
роут до 0.0.0.0/0 через wg0 тоже есть, конечно же.
что я забыл? что-то очевидное, казалось бы.

NB! РКН и блокировки точно не причём, сервер и клиент в одной и той же стране за границей, WG-клиент на ПК, который выходит в сеть через тот же самый роутер – работает вместе с интернетом.

←	Добавление изолированного сегмента сети в RouterOS

Dovecot (+exim) bash скрипт до авторизации

→

Может OpenWRT не добавил маршрут до IPv4 сервера через wan интерфейс? Посмотри ip ro на OpenWRT, там есть маршрут ser.ver.ip.v4 via de.fa.ult.gw dev wan?

iliyap ★★★★★
(25.01.25 15:17:24 MSK)

Ответ на: комментарий от iliyap 25.01.25 15:17:24 MSK

тогда бы не было связности до VPN-сервера.

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         ШЛЮЗ_ПРОВАЙДЕРА    0.0.0.0         UG    0      0        0 eth2
10.13.13.0      0.0.0.0         255.255.255.0   U     0      0        0 br-lan
10.111.222.0    0.0.0.0         255.255.255.0   U     0      0        0 br-guest-turris
IP_АДРЕС_VPN_СЕРВЕРА  ШЛЮЗ_ПРОВАЙДЕРА    255.255.255.255 UGH   0      0        0 eth2
ПОДСЕТЬ_ПРОВАЙДЕРА    0.0.0.0         255.255.255.0   U     0      0        0 eth2

соответственно, если добавить роут до 0.0.0.0/0 через wg0, интернета больше нет, однако VPN-сервер доступен, wg show показывает пира онлайн с обеих сторон, трафик ходит.

ann_eesti
(25.01.25 15:21:29 MSK) автор топика

Ответ на: комментарий от ann_eesti 25.01.25 15:21:29 MSK

поверхностный гуглёж показывает тонны подводных камней с Firewall, начиная с открытие портов для WG-трафика (https://forum.openwrt.org/t/wireguard-connect-but-no-internet/185636/6) заканчивая фаерволлами и зонами в OpenWRT (https://community.teltonika.lt/t/no-access-to-internet-from-clients-in-wireguard-peer-network-s2s/1836/9), куда копать – пока не имею понятия.

ann_eesti
(25.01.25 15:26:15 MSK) автор топика

update: нельзя пьяным настраивать сеть.

  allowed ips: 10.20.120.121/32

	list addresses '10.120.120.121/32'

теперь на роутере внешняя сеть есть, однако на клиентах – нету:

ann@undercity ~ » ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
From 10.13.13.1 icmp_seq=1 Destination Port Unreachable
^C

куда дальше? :D

ann_eesti
(25.01.25 15:53:43 MSK) автор топика
Последнее исправление: ann_eesti 25.01.25 15:54:17 MSK (всего исправлений: 1)

Ответ на: комментарий от ann_eesti 25.01.25 15:53:43 MSK

Сделай NAT для клиентов роутера на WG адрес или же клиентскую подсеть закинь в AllowedIPs

BOOBLIK ★★★★
(25.01.25 16:29:20 MSK)

Какая цель то?

На сервере натить и форвардить включено?

NyXzOr ★★★★
(25.01.25 17:34:06 MSK)

←	Добавление изолированного сегмента сети в RouterOS

Admin

Dovecot (+exim) bash скрипт до авторизации

→

Похожие темы