Доступ к другим сетям через впн
-
Inner
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
На сколько я знаю, там две версии OSPF. Попробуйте на третьей ради интереса. А вообще, есть у меня подозрение, что 7.1 ещё сырая и не все функции в ней реализованы должным образом
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
-
losenmann
- Сообщения: 8
- Зарегистрирован: 14 дек 2021, 05:59
Попробовал 3 версию, безрезультатно. Да, с двух сторон повесил адреса в addresses: головной - 172.16.32.1/26, удаленный - 172.16.32.5/26
Настраиваешь Firewall? Safe mode only
-
losenmann
- Сообщения: 8
- Зарегистрирован: 14 дек 2021, 05:59
И так у меня есть кое-какие результаты относительно этой темы. Опытным путем выяснил, что проблемы была со стороны WG. В частности, у меня на головном микроте в строке allow addresses было указано 172.16.32.5/32. Я попробовал заменить на 0.0.0.0/0 и все стартануло. Но в этом случае, на других клиентах отваливается доступ. Я попробовал добавить к 172.16.32.5/32 еще 224.0.0.0/4 и все тоже заработало. У меня есть подозрение что придется создавать несколько интерфейсов WG, но с другой стороны, даже если так сделать, то как тогда быть адрессацией 224.0.0.0/4. В общем продолжаю экспериментировать дальше) Мой конфиг peers:
Код: Выделить всё
/interface wireguard peers
add allowed-address=172.16.32.2/32 comment=admin interface=wg-srv persistent-keepalive=10s \
public-key="***"
add allowed-address=224.0.0.0/4,172.16.32.3/32 interface=wg-srv persistent-keepalive=10s \
public-key="***"
add allowed-address=224.0.0.0/4,172.16.32.4/32 disabled=yes interface=wg-srv public-key="***"Настраиваешь Firewall? Safe mode only
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
я добавил аналогично в WG в allow address 0.0.0.0/0 и тоже OSPF поднялся! Спасибо!!!losenmann писал(а): ↑14 дек 2021, 14:09 И так у меня есть кое-какие результаты относительно этой темы. Опытным путем выяснил, что проблемы была со стороны WG. В частности, у меня на головном микроте в строке allow addresses было указано 172.16.32.5/32. Я попробовал заменить на 0.0.0.0/0 и все стартануло. Но в этом случае, на других клиентах отваливается доступ. Я попробовал добавить к 172.16.32.5/32 еще 224.0.0.0/4 и все тоже заработало. У меня есть подозрение что придется создавать несколько интерфейсов WG, но с другой стороны, даже если так сделать, то как тогда быть адрессацией 224.0.0.0/4. В общем продолжаю экспериментировать дальше) Мой конфиг peers:
Код: Выделить всё
/interface wireguard peers add allowed-address=172.16.32.2/32 comment=admin interface=wg-srv persistent-keepalive=10s \ public-key="***" add allowed-address=224.0.0.0/4,172.16.32.3/32 interface=wg-srv persistent-keepalive=10s \ public-key="***" add allowed-address=224.0.0.0/4,172.16.32.4/32 disabled=yes interface=wg-srv public-key="***"
Теперь собственно вопрос, а почему оно не работает с тупо прописанными адресами? Каких allow address ему не хватает??
Ospf конечно классная тема, на втором микроте появились маршруты, которые есть на первом микроте, надо дальше разбираться, но сначала надо решить, что прописывать в WG!
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
Еще раз спасибо за подсказку, посмотрел по connections в фаерволе как коннектится ospf, и увидел там адрес 224.0.0.5losenmann писал(а): ↑14 дек 2021, 14:09 И так у меня есть кое-какие результаты относительно этой темы. Опытным путем выяснил, что проблемы была со стороны WG. В частности, у меня на головном микроте в строке allow addresses было указано 172.16.32.5/32. Я попробовал заменить на 0.0.0.0/0 и все стартануло. Но в этом случае, на других клиентах отваливается доступ. Я попробовал добавить к 172.16.32.5/32 еще 224.0.0.0/4 и все тоже заработало. У меня есть подозрение что придется создавать несколько интерфейсов WG, но с другой стороны, даже если так сделать, то как тогда быть адрессацией 224.0.0.0/4. В общем продолжаю экспериментировать дальше) Мой конфиг peers:
Код: Выделить всё
/interface wireguard peers add allowed-address=172.16.32.2/32 comment=admin interface=wg-srv persistent-keepalive=10s \ public-key="***" add allowed-address=224.0.0.0/4,172.16.32.3/32 interface=wg-srv persistent-keepalive=10s \ public-key="***" add allowed-address=224.0.0.0/4,172.16.32.4/32 disabled=yes interface=wg-srv public-key="***"
Код: Выделить всё
OSPF Broadcast network Each OSPF router joins the IP multicast group AllSPFRouters (224.0.0.5), then router periodically multicasts its Hello packets to the IP address 224.0.0.5. All other routers that joined the same group will receive multicasted Hello packet. In that way OSPF routers maintain relationships with all other OSPF routers by sending single packet instead of sending separate packet to each neighbor on the segment.
У меня с 224.0.0.5/32 не завелся, а как у вас - все работает
-
losenmann
- Сообщения: 8
- Зарегистрирован: 14 дек 2021, 05:59
Я попробовал просто добавить всю multicast подсеть, позже я так же уменьшил сеть до 224.0.0.5/32. 7 Версия еще очень не стабильна. К слову, созданный wg вообще не стартует при перезагрузке. Помогает передергивание пира. Нужен и или скрипт с автозагрузкой на передергивание или что-то еще колхозить. В моем случае, это решилось заменой endpoint с доменного имени на жесткий ip + добавление wg в interface list с masquerade. Часть вещей вообще не доступна через winbox или отображается неправильно. В продакшн, я бы такое не ставил( C l2tp у меня вообще дублировались маршруты самого l2tp, а на другом микроте с такой же конфигурацией но на v6 такого нет.
Настраиваешь Firewall? Safe mode only
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
да, у меня теперь ospf поднялся в таком варианте написания, все ок.
Правильно ли я понимаю, если у нас на WG прописаны доступные подсети внутренние, без 0.0.0.0/0, то у клиента не будет выхода в интернет?
Или если внутренняя сеть доступна, то интернет будет доступен через внутреннюю сеть?
-
losenmann
- Сообщения: 8
- Зарегистрирован: 14 дек 2021, 05:59
Поидее должен быть. Я проверял со смартфона, у меня все нормально, со стороны клиента можно управлять, весь трафик заворачивать или только определенный. Так же проверял и при подключенном удаленному микроте по wg, доступ был. Вот только сейчас, для меня самая большая загадка остается, как по wg подключить больше 1 микрота с ospf, ибо сейчас при подключении 2, ospf отваливается 1. В общем нужно еще раскуривать тему с wg)
Настраиваешь Firewall? Safe mode only