Подсети по Wireguard пингуются частично в обе стороны

Обсуждение ПО и его настройки
Ответить
paolo
Сообщения: 6
Зарегистрирован: 10 мар 2022, 16:52

Добрый день
Есть офис и пара филиалов. Филиалы подключены по Wireguard.
Проблема в том, что филиалы пингуют офис частично и из офиса пингуется не все пулы в филиалах

Часть конфига офиса:
 
/interface wireguard
add listen-port=13231 mtu=1420 name=wg_2
add listen-port=13232 mtu=1412 name=wg_3

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=filial2.18 endpoint-port=13231 interface=wg_2 \
persistent-keepalive=10s public-key="*****"
add allowed-address=0.0.0.0/0 endpoint-address=filial3.131 endpoint-port=13232 interface=wg_3 \
persistent-keepalive=10s public-key="*****"

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=office pref-src="" routing-table=main \
scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=wg_2 pref-src=0.0.0.0 routing-table=main scope=\
30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.9.0/24 gateway=wg_2 pref-src=10.0.1.2 routing-table=\
main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=wg_3 pref-src=0.0.0.0 routing-table=main scope=\
30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.8.0/24 gateway=wg_3 pref-src=10.0.1.3 routing-table=\
main scope=30 suppress-hw-offload=no target-scope=10


/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept wireguard" dst-port=13231,13232,13233 protocol=udp
add action=accept chain=output dst-port=13231,13232,13233 protocol=udp
add action=accept chain=forward dst-port=13231,13232,13233 protocol=udp

add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=accept chain=input in-interface=bridge
add action=fasttrack-connection chain=forward dst-port=808 hw-offload=no protocol=tcp
add action=fasttrack-connection chain=forward hw-offload=no protocol=tcp src-port=808
add action=log chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=\
!LAN log=yes
add action=accept chain=forward comment=in:ipsec ipsec-policy=in,ipsec
add action=drop chain=input comment="drop all from WAN" in-interface=ether1 log-prefix="drop from WAN"
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid

/ip firewall mangle
add action=change-mss chain=forward disabled=yes new-mss=clamp-to-pmtu passthrough=yes protocol=tcp \
tcp-flags=syn

/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface=ether1
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface=wg_2 src-address=192.168.10.0/24
add action=masquerade chain=srcnat out-interface=wg_3 src-address=192.168.10.0/24
Часть конфига филиала_3
 
/ip address
add address=192.168.8.2/24 comment=defconf interface=ether2 network=\
192.168.8.0
add address=filial3.131/25 interface=ether1 network=filial3.128
add address=10.0.1.11/24 interface=wg_1 network=10.0.1.0
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=output dst-port=13232 protocol=udp
add action=fasttrack-connection chain=forward dst-port=808 hw-offload=yes \
out-interface=wg_1 protocol=tcp
add action=fasttrack-connection chain=forward hw-offload=yes in-interface=\
wg_1 protocol=tcp src-port=808
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes protocol=\
udp
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
protocol=tcp tcp-flags=syn

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VPN msqrd" out-interface=all-ppp
add action=masquerade chain=srcnat out-interface=wg_1 src-address=\
192.168.8.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=wg_1

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=filial3.129
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.0.1.3 pref-src=\
0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.10.0/24 gateway=wg_1 \
pref-src=10.0.1.11 routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
Пинги из офиса:

Код: Выделить всё

C:\Users\USER>tracert 192.168.8.1
Трассировка маршрута к 192.168.8.1 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  192.168.10.1
  2    85 ms    67 ms    81 ms  10.0.1.11
  3    55 ms    55 ms    55 ms  192.168.8.1
Трассировка завершена.

C:\Users\USER>tracert 192.168.8.2
Трассировка маршрута к 192.168.8.2 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  192.168.10.1
  2    55 ms    55 ms    55 ms  192.168.8.2
Трассировка завершена.

Из филиала:

Код: Выделить всё

C:\Users\user>tracert 192.168.10.13
Трассировка маршрута к 192.168.10.13 с максимальным числом прыжков 30
  1     1 ms     1 ms     1 ms  192.168.8.2
  2    57 ms    55 ms    55 ms  10.0.1.3
  3    56 ms    55 ms    55 ms  192.168.10.13
Трассировка завершена.

C:\Users\user>tracert 192.168.10.3
Трассировка маршрута к 192.168.10.3 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  192.168.8.2
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4  ^C
В чем проблема?


KaNelam
Сообщения: 619
Зарегистрирован: 11 июл 2017, 13:03

Где-то запрещен icmp?


paolo
Сообщения: 6
Зарегистрирован: 10 мар 2022, 16:52

KaNelam писал(а): 05 май 2022, 16:10 Где-то запрещен icmp?
Нет. Не запрещен. "defconf: accept ICMP" в первых строчках.
192.168.10.3/24 - NAS Synology с двумя портами 10.2 и 10.3
И в одном из филиалов 10.2 виден, а 10.3 - нет.
Мне и нужно то буквально 3- пять адресов наружу(в филиалы) показать....


KaNelam
Сообщения: 619
Зарегистрирован: 11 июл 2017, 13:03

Я про локальные машины.


paolo
Сообщения: 6
Зарегистрирован: 10 мар 2022, 16:52

KaNelam писал(а): 05 май 2022, 17:45 Я про локальные машины.
Нет. Причем по UDP тоже самое. ни пинга ни трассировки


paolo
Сообщения: 6
Зарегистрирован: 10 мар 2022, 16:52

Вот с микрота филиала(протокол результата не меняет):

Код: Выделить всё

[admin@filial3] > tool/traceroute 
address: 192.168.10.2
Columns: LOSS, SENT, LAST
#  LOSS  SENT  LAST   
1  100%     2  timeout
2  100%     1  timeout
3  100%     1  timeout
4  100%     1  timeout
5  100%     1  timeout

[admin@filial3] > tool/traceroute 
address: 192.168.10.13
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS         LOSS  SENT  LAST    AVG   BEST  WORST  STD-DEV
1  10.0.1.3       0%       8  55.6ms  55.6  55.2  57.6   0.8    
2  192.168.10.13  0%       8  55.6ms  55.7  55.5  56.1   0.2    

[admin@filial3] > tool/traceroute 
address: 192.168.10.15
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS         LOSS  SENT  LAST    AVG   BEST  WORST  STD-DEV
1  10.0.1.3       0%       8  55.3ms  58.2  55.2  70.5   5.2    
2  192.168.10.15  0%       8  55.7ms  56.2  55.6  58.3   0.9    

[admin@filial3] > tool/traceroute
address: 192.168.10.2
Columns: LOSS, SENT, LAST
#  LOSS  SENT  LAST   
1  100%     1  timeout
2  100%     1  timeout
3  100%     1  timeout
4  100%     1  timeout
5  0%       1  0ms


KaNelam
Сообщения: 619
Зарегистрирован: 11 июл 2017, 13:03

paolo писал(а): 05 май 2022, 18:11
KaNelam писал(а): 05 май 2022, 17:45 Я про локальные машины.
Нет. Причем по UDP тоже самое. ни пинга ни трассировки
Пинг это ICMP, проверяйте фаеры на машинах.


Ответить