Russian Users MikroTik | Форум пользователей MikroTik

Есть настроенная vpn сетка на wireguard, скажем *.*.11.11, и 11.12
За каждым vpn клиентом стоит сетка 21.* и 22.*
прописан статический роутинг 21.* через 11.11 и 22.* через 11.12

Из основной сетки я нормально могу попасть как в сетку 21.* так и 22.*
Но я не могу попасть из одной vpn сети в другую.

трасероут доходит до основного маршрутизатора, и попадает в бесконечное *
Есть динамическое правило, что вся сетка 11.* уходит в интерфейс wireguard.

Вот тут вот похоже и происходит затык, все что пришло из wireguard туда же завернулось и не вернулось :)

allowed-addresses как заданы для peer'ов?
И на микротике и на остальных.

Поставлю реальные адреса, так что бы не запутаться :)
Основной роутер с адресами 210.0/24, в vpn адрес 211.1
Прописан статичный роутинг на подсетку 212.0/24 через 211.52
На пире с ключем для 52 allowed 211.52 + 212.0/24

Есть подсетка 212.0/24 со своим выходом в инет. в vpn у нее адрес 211.52 На пире у нее стоит Allowed 211.0/24 + 210.0/4
Есть телефон который подключается в vpn и имеет адрес 211.2, allowed 0.0.0.0/0 те весь трафик через vpn

Могу спокойно достучаться до любого адреса в 212.0 из любого в сетке 210, и наоборот.

Но телефон с адресом 211.xxx (из vpn) видит нормально все что в 210 есть выход в инет, но не может достучаться до 212.0
tracerout говорит что доходит до 210.1 и дальше только звездочки.

tracerout с любого устройства в сети 210.0 работает, но traceroute с роутера 210.1 не работает ни с какого интерфейса

Выглядит вроде правильно вполне.
На втором роутере на туннеле /32 маска?

В этом мануале, рекомендуют сделать такую запись, у меняя ее нет.
https://help.mikrotik.com/docs/display/ROS/WireGuard

Правильный ли у меня tracerout?
Я делаю из домашней сети в сетку за vpn

1 router.home [192.168.210.1]
2 192.168.211.52
3 192.168.212.23

между 2 и 3 не должен ли стоять адрес 212.1?

retom писал(а): ↑10 окт 2023, 05:01 В этом мануале, рекомендуют сделать такую запись, у меняя ее нет.

Не обязательно такие, но в firewall'е надо чтобы доступ не был запрещен, да.

роутер который стоит vpn имеет два бриджа, у каждого своя подсетка 200.* и 212.*
часть портов в 200 а часть в 212
200 сетка имеет локальный выход в инет и свой маскарадинг на wan
а в 212 весь трафик идет через vpn на другой роутер в сетке 210.*

все настройки кроме маскарадинга полностью симметричные.
Но из 210 сети я могу зайти на роутер и пингнуть 212.1 а вот если 200.1 не пингается и не заходиться.
в сетке 210 роутинг и на 200 и 212 прописан и пирах все разрешено.

Как определяетя в какой бридж отправить пакет по маске?

Почему у меня для бриджа адрес надо написать как /24 если делаю /32 не работает?

retom писал(а): ↑10 окт 2023, 18:13 Почему у меня для бриджа адрес надо написать как /24 если делаю /32 не работает?

А почему должно?
/32 это либо loopback, либо ptp, если в качестве сети другой адрес задан.

По основному вопросу - смотрите, чтобы например маскарад случайно на туннель не работал.

Так я и не победил роутинг между пирами wiregaurd :(
Такое ощущение что, если пришло из интерфейса VPN то может пойти куда угодно, только не в VPN

Должен ли у меня с роутера проходит пинг до IP адреса пира wiregaurd?
Если я делаю пинг из локальной сети то пинг есть, если делаю пинг с роутера то нету.