Wireguard - pristup k zariadeniam na sieti klienta

[molnart]

Na routri mi bezi wireguard server a k tomu je pripojene raspberry ktore mam u rodicov. toto funguje dobre. potreboval by som ale pristup aj k dalsim zariadeniam na sieti kde je to raspberry. mate nejake tusenie ako na to?

[shiro]

V pripade OpenVPN servera na Synology je tam moznost toto zapnut.
Nieje daco podobne aj v konfigu Wireguardu?

alebo pozri:
https://www.reddit.com/r/WireGuard/comm ... al_subnet/
https://www.reddit.com/r/WireGuard/comm ... local_lan/
https://www.reddit.com/r/WireGuard/comm ... access_my/

[Chris]

nastuduj si https://docs.netgate.com/pfsense/en/lat ... d-s2s.html

alebo spravis s raspberry ssh jump/reverse proxy

[molnart]

@Chris , diky to je pekny navod, len ja by som tie firewall ruly a static routy mal nastavit aj na tom raspberry a tam vobec netusim ako na to. videl som nejake iptables commandy na reddite ale vobec nemam tusenie co vlastne robia a ako ich mam upravit.

stav je takyto:
- hlavna domaca siet je 192.168.50.0/24
- remote siet je 192.168.8.0/24
- WG siet je 10.0.9.0/24
- 192.168.8.10 je lokalna IP adresa Raspberry, jej WG adresa 10.0.9.80

v podstate z raspberry vidim vsetky zariadenia na hlavnej sieti, viem ich pignut atd.
z domacej siete viem pingnut len raspberry, tak pod lokalnou IP adresou tak pod adresou vo WG subnete, ale ziadne ine zariadenie z remote siete

co som skusal ze na hlavnej sieti som vytvoril static route pre remote subnet 192.168.8.0/24 cez gateway 192.168.8.10 (IP adresa Raspberry). Skusal som aj variantu s 10.0.9.80 co je adresa Rpi vo WG subnete,

myslim ze co by som mal urobit by malo byt povolit incoming traffic na raspberry zo siete 192.168.50.0/24 (hlavna siet) alebo 10.0.9.0/24, ale netusim ako na to. a este som sa docital ze mam zapnut ip_forwarding, co som urobil cez sysctl -w net.ipv4.ip_forward=1

routing table na raspberry vyzera takto:

Kód: Vybrať všetko

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.8.1     0.0.0.0         UG    0      0        0 eth0
192.168.8.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.50.0    0.0.0.0         255.255.255.0   U     0      0        0 wg-odroid

asi by tam mal byt aj riadok pre 192.168.8.0 siet cez wg-odroid interface, nie?

traceroute nejakej 192.168.8.x adresy z domacej siete konci na adrese 10.0.9.80, teda na WG adrese Raspberry. ja si myslim ze by tam este mal prebehnut dalsi hop na 192.168.8.10 ale neviem ako ho docielit

[d3Xter]

dest siete routujes vzdy za tunel a to na oboch koncoch, ip route ich musi mat exaktne aby sa vedelo kam to ma poslat
predpokladam ze ked pingnes rasp na privatnej IP tak pingnes aj GW pre rasp, tj router?
zahadzuje ti to fw pripadne to natujes aj ked by si nemal

ak ide traffic z nejakeho PC v remote poole tak pride na router - GW, ktory nema info kde sa nachadza tvoj dest pool 192.168.50.0/24 tak to posle do def routy, teda do internetu, pridaj este staticku routu na routri na rasp IP a dest pool

[molnart]

na telekom routri ziadny static route nepridam, tam nefunguje ani blbe DNS, dokonca ani fixne ip adresy cez DHCP

[d3Xter]

dotunelovals batmane pre nic za nic sa to nerobi na verejnych IP
poziadaj o premiovy router, ja na sagemcome mam moznost dhcp reseverd address

[molnart]

vsak verejne IP mam, s tym nie je problem, ale nastavenia na static route tam nie su. DHCP static IP v menu sice je, ale nastavenia su ignorovane a router si veselo prideluje adresy z DHCP rangu. to by ale az taky problem nebol, lebo si fixnu adresu nastavim na klientovi.

neviem ten static route nejako posuplovat na tom raspberry? vsak on "priamo" vidi WG gateway, staci mu povedat kam ma routovat traffic

[d3Xter]

verejnu IP nemas na rasp
flow akym ti odpovedaju zariadenia v LAN som ti popisal vyssie, potrebujes tomu routru povedat kde ma hladat tvoju domacu siet, v tvojom pripade za rasp a za tunelom co mas na nom, inak vsetko ide do defaulty 0.0.0.0 0.0.0.0 192.168.8.1 a dalej natujes vonku

[molnart]

predpokladam ze ked pingnes rasp na privatnej IP tak pingnes aj GW pre rasp, tj router?

praveze nie, router pingnut neviem. iba rpi a nic ine. ale to mi aj dava zmysel, lebo z pohladu WG interface je rpi druhym koncom tunela.

potrebujes tomu routru povedat kde ma hladat tvoju domacu siet, v tvojom pripade za rasp a za tunelom co mas na nom

no ale ja prave toto nechcem. zariadenia z tej remote siete okrem rpi sa v ziadnom pripade nemaju dostat do mojej domacej siete. ja chcem z domacej siete pristupovat k zariadeniam na tej remote sieti, ale opacne nie. tzn. ze malo by stacit povedat mojmu domacemu routru kde ma hladat subet 192.168.8.x, co som mu povedal.

[d3Xter]

si si vedomy, ze v tomto svete vsetko funguje na principe request-response? ak sa ti to nema ako vratit z remote do home tak koncis na remote GW
ak to nechces akceptovat, niet ti pomoci

ak vies pridat routu na zariadenia v remote poole, tak to mas asi poslednu moznost, ktoru vies skusit, ale aj tak ti pojde vsetko LAN-to-LAN pokial nepovies nieco ine vo FW
s 192.168.50.0/24 via 192.168.8.10

[molnart]

ja chapem ze komunikacia je obojstranna. sice o sietiach viem hovno, ale doteraz som bol v tom ze ked uz je komunikacia estabilishnuta tak response sa automaticky routuje tam odkial prisiel request, preto sa mi zdalo ze aj firewall ruly na nastavuju len pre jeden smer a reponse je automaticky povoleny. ale pripustam som v tomto uplne mimo.

ten route neviem pridat lebo toto:

Kód: Vybrať všetko

 sudo ip route add 192.168.50.0/24 via 192.168.8.10 dev wg-odroid
Error: Nexthop has invalid gateway.

ale viem to nastavit na via 10.0.9.80, no vysledku to nepomoze

este mi napadlo, ci by nepomohlo v tych klientoch na remote sieti nastavit gateway natvrdo na adresu rpi 192.168.8.10

pripadne sa pozriem lepsie ako funguje wireguard mesh a skusim cez to

[d3Xter]

hovoril som o nastaveni statiky na vsetkych zariadeniach okrem rasp, na tie na ktore sa chces dostat
zmenit gw a posielat vsetko na rasp mozes, neviem ako si to poradi s routovanim celej LAN a traffickom na 100m porte co ma rasp (pripadne 1gpbs?), hlavne vyrobis asymetricky routing a cely tok dat, down pojde cez router priamo na zariadenie v LAN a upload posles cez rasp, LAN-to-LAN tak isto

[molnart]

ako tak rozmyslam, jedodnuchsie bude spravit pripojenie opacne. teda ze server bude to raspberry a klient moja domaca siet. nie je to idealne, lebo fixna IP je na domacej sieti, ale DDNS funguje, takze snad to bude ok