Настроил wireguard на двух устройствах, с одного вижу сеть напротив, а со второго нет

@ntsbict · Регистрация: 25.04.2024

Author24 — интернет-сервис помощи студентам

Настроил wireguard на двух устройствах, с одного вижу сеть напротив, а со второго нет

При этом пинг с устройства А на ip который я присвоил wireguard устройства B идет, как и пинг с устройства B на ip который я присвоил wireguard устройства A

Tracert доходит до wireguard и виснет

@Maks · 04.07.2024, 19:25

ntsbict, Вам нужен пинг между клиентами?

@ntsbict · 04.07.2024, 20:36 **[ТС]**

Да меня интересует почему клиенты сети B видят клиентов сети А, а клиенты сети А не видят клиентов сети B
Хотя настройки полностью идентичны

Добавлено через 1 час 5 минут

Сообщение от Maks

ntsbict, Вам нужен пинг между клиентами?

Да, может можно как-то отследить, помимо tracert

@.None · 05.07.2024, 07:09

что за устройства?

какие ОС на устройствах?

эти "устройства" являются шлюзами сетей в которых они установлены?

@ntsbict · 05.07.2024, 07:56 **[ТС]**

Два устройства Mikrotik, оба являются основными шлюзами в своей сети, на каждом имеется свой статические адрес, прошивка одинаковая 7.15.2

@.None · 05.07.2024, 08:25

ок, для того чтобы хосты разных сетей видели друг друга нужны 3 вещи:

1. правильная настройка WG, в частности настройка AllowedIPs
2. настроена маршрутизация в удаленные сети через WG туннель, + не запрещен forward между сетями на обоих МТ
3. настроены или отключены встроенные фаерволы (брандмауэры) на windos устройствах, т.к. по умолчанию фаервол настроен так, что дропает все новые подключения не из "своей" локальной сети, пакет из удаленной сети будет "чужой", и фаервол виндовс его дропнет.

по 1. покажите настройки WG без приватных ключей, + скажите адресацию локальных сетей за обоими МТ

по 2. все настроено верно? покажите маршруты на обоих МТ

по 3. ???

@ntsbict · 05.07.2024, 12:05 **[ТС]**

Сообщение от .None

ок, для того чтобы хосты разных сетей видели друг друга нужны 3 вещи:

1. правильная настройка WG, в частности настройка AllowedIPs
2. настроена маршрутизация в удаленные сети через WG туннель, + не запрещен forward между сетями на обоих МТ
3. настроены или отключены встроенные фаерволы (брандмауэры) на windos устройствах, т.к. по умолчанию фаервол настроен так, что дропает все новые подключения не из "своей" локальной сети, пакет из удаленной сети будет "чужой", и фаервол виндовс его дропнет.

по 1. покажите настройки WG без приватных ключей, + скажите адресацию локальных сетей за обоими МТ

по 2. все настроено верно? покажите маршруты на обоих МТ

по 3. ???

wireguard1

interface :wireA
Endpoint: 222.222.222.222
Endpoint Port: 4848
Allowed Address: 39.88.1.2/32, 10.77.7.0/24

wireguard2

interface :wireB
Endpoint: 111.111.111.111
Endpoint Port: 4848
Allowed Address: 39.88.1.1/32, 192.168.97.0/24

MK1:Adresses
Address: 39.88.1.1/24
Interface: wireA

MK2:Adresses
Address: 39.88.1.2/24
Interface: wireB

MK1:Route List
Dst. Address: 192.168.97.0/24 Gateway: bridge
Dst. Address: 39.88.1.0/24 Gateway: wireA
Dst. Address: 10.77.7.0/24 Gateway: wireB

MK2:Route List
Dst. Address: 10.77.7.0/24 Gateway: bridge
Dst. Address: 39.88.1.0/24 Gateway: wireB
Dst. Address: 192.168.97.0/24 Gateway: wireB

На обоих udp 4848 открыт

Есть подозрение что дело не в wireguard, потому что когда я раскатил L2TP vpn на MK2, у клиента vpn тоже нет доступа в локалку(первый раз такое вижу)

@Konstantin® · 05.07.2024, 16:30

ntsbict, в firewall временно для проверки попробуйте отключить правило:
;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

@ntsbict · 05.07.2024, 18:19 **[ТС]**

Отключал, с правилом при сканировании сети видно только 10.77.7.1, без него видно тот же шлюз но есть веб морда.
Ну и плюс авторизации начинаются, нам такого не надо)))

@.None · 06.07.2024, 08:39

добавьте правила для явного разрешения прохождения трафика между сетями на обоих микротиках и двиньте в самый верх

Код

add action=accept chain=forward dst-address=192.168.97.0/24 src-address=10.77.7.0/24
add action=accept chain=forward src-address=192.168.97.0/24 dst-address=10.77.7.0/24

и попробуйте пинг из сети А устройства в сети В желательно не виндовс, телефоны/камеры/принтеры

и покажите c обоих МТ на всякий случай ip fi export

@ntsbict 0 / 0 / 0 Регистрация: 25.04.2024 Сообщений: 9
		1
	Настроил wireguard на двух устройствах, с одного вижу сеть напротив, а со второго нет 04.07.2024, 19:23. Показов 817. Ответов 9 Метки mikrotik, tunnel, wireguard (Все метки) Настроил wireguard на двух устройствах, с одного вижу сеть напротив, а со второго нет При этом пинг с устройства А на ip который я присвоил wireguard устройства B идет, как и пинг с устройства B на ip который я присвоил wireguard устройства A Tracert доходит до wireguard и виснет 0

@Maks Модератор 8619 / 4341 / 548 Регистрация: 13.03.2013 Сообщений: 15,840 Записей в блоге: 16
	04.07.2024, 19:25	2
	ntsbict, Вам нужен пинг между клиентами? 0

@ntsbict 0 / 0 / 0 Регистрация: 25.04.2024 Сообщений: 9
	04.07.2024, 20:36 [ТС]	3
	Да меня интересует почему клиенты сети B видят клиентов сети А, а клиенты сети А не видят клиентов сети B Хотя настройки полностью идентичны Добавлено через 1 час 5 минут Сообщение от Maks ntsbict, Вам нужен пинг между клиентами? Да, может можно как-то отследить, помимо tracert 0

@.None 4293 / 1630 / 325 Регистрация: 23.06.2009 Сообщений: 5,807
	05.07.2024, 07:09	4
	что за устройства? какие ОС на устройствах? эти "устройства" являются шлюзами сетей в которых они установлены? 0

@ntsbict 0 / 0 / 0 Регистрация: 25.04.2024 Сообщений: 9
	05.07.2024, 07:56 [ТС]	5
	Два устройства Mikrotik, оба являются основными шлюзами в своей сети, на каждом имеется свой статические адрес, прошивка одинаковая 7.15.2 0

@.None 4293 / 1630 / 325 Регистрация: 23.06.2009 Сообщений: 5,807
	05.07.2024, 08:25	6
	ок, для того чтобы хосты разных сетей видели друг друга нужны 3 вещи: 1. правильная настройка WG, в частности настройка AllowedIPs 2. настроена маршрутизация в удаленные сети через WG туннель, + не запрещен forward между сетями на обоих МТ 3. настроены или отключены встроенные фаерволы (брандмауэры) на windos устройствах, т.к. по умолчанию фаервол настроен так, что дропает все новые подключения не из "своей" локальной сети, пакет из удаленной сети будет "чужой", и фаервол виндовс его дропнет. по 1. покажите настройки WG без приватных ключей, + скажите адресацию локальных сетей за обоими МТ по 2. все настроено верно? покажите маршруты на обоих МТ по 3. ??? 0

@ntsbict 0 / 0 / 0 Регистрация: 25.04.2024 Сообщений: 9
	05.07.2024, 12:05 [ТС]	7
	Сообщение от .None ок, для того чтобы хосты разных сетей видели друг друга нужны 3 вещи: 1. правильная настройка WG, в частности настройка AllowedIPs 2. настроена маршрутизация в удаленные сети через WG туннель, + не запрещен forward между сетями на обоих МТ 3. настроены или отключены встроенные фаерволы (брандмауэры) на windos устройствах, т.к. по умолчанию фаервол настроен так, что дропает все новые подключения не из "своей" локальной сети, пакет из удаленной сети будет "чужой", и фаервол виндовс его дропнет. по 1. покажите настройки WG без приватных ключей, + скажите адресацию локальных сетей за обоими МТ по 2. все настроено верно? покажите маршруты на обоих МТ по 3. ??? wireguard1 interface :wireA Endpoint: 222.222.222.222 Endpoint Port: 4848 Allowed Address: 39.88.1.2/32, 10.77.7.0/24 wireguard2 interface :wireB Endpoint: 111.111.111.111 Endpoint Port: 4848 Allowed Address: 39.88.1.1/32, 192.168.97.0/24 MK1:Adresses Address: 39.88.1.1/24 Interface: wireA MK2:Adresses Address: 39.88.1.2/24 Interface: wireB MK1:Route List Dst. Address: 192.168.97.0/24 Gateway: bridge Dst. Address: 39.88.1.0/24 Gateway: wireA Dst. Address: 10.77.7.0/24 Gateway: wireB MK2:Route List Dst. Address: 10.77.7.0/24 Gateway: bridge Dst. Address: 39.88.1.0/24 Gateway: wireB Dst. Address: 192.168.97.0/24 Gateway: wireB На обоих udp 4848 открыт Есть подозрение что дело не в wireguard, потому что когда я раскатил L2TP vpn на MK2, у клиента vpn тоже нет доступа в локалку(первый раз такое вижу) 0

@Konstantin® 388 / 165 / 29 Регистрация: 24.10.2013 Сообщений: 985
	05.07.2024, 16:30	8
	ntsbict, в firewall временно для проверки попробуйте отключить правило: ;;; defconf: drop all not coming from LAN chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 0

@ntsbict 0 / 0 / 0 Регистрация: 25.04.2024 Сообщений: 9
	05.07.2024, 18:19 [ТС]	9
	Отключал, с правилом при сканировании сети видно только 10.77.7.1, без него видно тот же шлюз но есть веб морда. Ну и плюс авторизации начинаются, нам такого не надо))) 0

@.None 4293 / 1630 / 325 Регистрация: 23.06.2009 Сообщений: 5,807
	06.07.2024, 08:39	10
	добавьте правила для явного разрешения прохождения трафика между сетями на обоих микротиках и двиньте в самый верх Код add action=accept chain=forward dst-address=192.168.97.0/24 src-address=10.77.7.0/24 add action=accept chain=forward src-address=192.168.97.0/24 dst-address=10.77.7.0/24 и попробуйте пинг из сети А устройства в сети В желательно не виндовс, телефоны/камеры/принтеры и покажите c обоих МТ на всякий случай ip fi export 0