Sziasztok! Az alábbi konfiggal egy ideig ment a vpn az otthoni lanom és az iphone-om között, akkor "ment el" valami, amikor próbáltam a pop os-t futtató laptopomon is belőni a wireguardot. Visszatettem egy backupot a routerre, amin korábban tutira jól ment a wg a router és a teló között, de sajnos nem oldódott meg ettől a helyzet. Itt a konfig, hátha valami sasszemű kiszúr benne valamit:
/ip firewall filter print
Flags: X - disabled, I - invalid; D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; Wireguard
chain=input action=accept protocol=udp in-interface=pppoe-out1 dst-port=51820 log=no log-prefix=""
2 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
3 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid
4 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
5 ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
6 chain=input action=accept protocol=udp in-interface=wireguard1 dst-port=51820 log=no log-prefix=""
7 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN
8 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
9 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
10 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related
11 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
12 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid
13 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
/ip firewall nat print
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; Hairpin NAT
chain=srcnat action=masquerade src-address=192.168.88.0/24 dst-address=192.168.88.0/24 log=no log-prefix=""
1 ;;; Hairpin NAT for WireGuard
chain=srcnat action=masquerade src-address=10.10.10.0/24 dst-address=192.168.88.0/24
2 ;;; Home Assistant, Forwarding port 80 to HA ip
chain=dstnat action=dst-nat to-addresses=192.168.88.3 protocol=tcp in-interface=pppoe-out1 dst-port=80 log=no log-prefix=""
3 ;;; Home Assistant, Forwarding port 443 to HA ip
chain=dstnat action=dst-nat to-addresses=192.168.88.3 protocol=tcp in-interface=pppoe-out1 dst-port=443 log=no log-prefix=""
4 ;;; Home Assistant catch-all
chain=dstnat action=dst-nat to-addresses=192.168.88.3 dst-address-list=WAN log=no log-prefix=""
5 ;;; Home Assistant source NAT fix
chain=srcnat action=src-nat to-addresses=185.180.88.194 src-address-list=WAN log=no log-prefix=""
6 ;;; Masquarade from WireGuard
chain=srcnat action=masquerade src-address=10.10.10.0/24 out-interface-list=WAN log=no log-prefix=""
7 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
/interface wireguard print detail
Flags: X - disabled; R - running
0 R name="wireguard1" mtu=1412 listen-port=51820 private-key="=" public-key="="
/interface wireguard peers print detail
Flags: X - disabled; D - dynamic
0 interface=wireguard1 name="telefon" public-key="=" private-key="" endpoint-address="" endpoint-port=0 current-endpoint-address="" current-endpoint-port=0 allowed-address=10.10.10.2/32
preshared-key="" client-endpoint="" rx=0 tx=0
1 interface=wireguard1 name="laptop" public-key="=" private-key="" endpoint-address="" endpoint-port=0 current-endpoint-address="" current-endpoint-port=0 allowed-address=10.10.10.3/32
preshared-key="" client-endpoint="" rx=0 tx=0
/interface list member print
Columns: LIST, INTERFACE
# LIST INTERFACE
;;; defconf
0 LAN bridge
;;; defconf
1 WAN ether1
2 WAN pppoe-out1
3 LAN wireguard1
/tool sniffer quick port=51820
Columns: INTERFACE, TIME, NUM, DIR, SRC-MAC, DST-MAC, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, SIZE, CPU
INTERFACE TIME NUM DIR SRC-MAC DST-MAC SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE CPU
bridge 4.654 2 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 4.654 3 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
pppoe-out1 9.416 4 <- 37.76.11.127:34758 185.180.88.194:51820 ip:udp 176 3
bridge 9.416 5 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 9.416 6 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
pppoe-out1 14.628 7 <- 37.76.11.127:34758 185.180.88.194:51820 ip:udp 176 3
bridge 14.628 8 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 14.628 9 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
pppoe-out1 19.769 10 <- 37.76.11.127:34758 185.180.88.194:51820 ip:udp 176 3
bridge 19.769 11 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 19.769 12 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
pppoe-out1 24.882 13 <- 37.76.11.127:34758 185.180.88.194:51820 ip:udp 176 3
bridge 24.882 14 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 24.882 15 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
pppoe-out1 30.159 16 <- 37.76.11.127:34758 185.180.88.194:51820 ip:udp 176 3
bridge 30.159 17 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 30.159 18 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
pppoe-out1 35.336 19 <- 37.76.11.127:34758 185.180.88.194:51820 ip:udp 176 3
bridge 35.336 20 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
ether5 35.336 21 -> D4:01:C3:3D:8E:DB 02:4D:B7:CE:D2:3A 37.76.11.127:34758 192.168.88.3:51820 ip:udp 190 3
Ha kell még valami, akkor megnézem. Előre is köszönök minden segítséget. Ja és az olyan triviális körökön túl vagyok, mint hogy a kulcsok jók -e, portok egyeznek -e, engedélyezett ip-k, jók -e.
Márk
- 772 megtekintés
Hozzászólások
jol latom, h benatolod valami random belso ip-re a WG portjat? :) mert szerintem ott van elszabva a dolog.
- A hozzászóláshoz be kell jelentkezni
Annyi van, hogy a helyi hálón futó szervereket el kell érnem a domain nevükkel is, nem csak az ip-jükkel. Ment így, nem zavarta.
szerk.: a móka kedvéért kilövöm.
szerk 2: semmi hatása nem volt a nat hairpin letiltásának
- A hozzászóláshoz be kell jelentkezni
Nekem fura ezen a sniffer részleten, hogy a forrás cím publikus, sem nem 192.168.88.x sem nem 10.10.10.x, és tippre a bridge és az ether5 is a LAN része, egyik sem internet oldali port. A válasz így a pppoe-out1-en kimegy az internetre, nem a kezdeményezőhöz jut vissza. Miért kommunikál publikus címmel a belső hálózaton az eszköz?
Ha nem ez a gond forrása, akkor egyébként a legtöbbször a publikus kulcsokon csúszik el a WG konfig. Azt ellenőrizd le, hogy mindenkinél, minden pozícióban jók-e a kulcsok.
Meg a konfig részletből nem látszik, van-e a WG interfésznek IP címe. Erről még győződj meg, jó-e (van-e és /32-nél nyitottabb-e a maszkja pl.).
A problémától függetlenül: a belső gépeknek FQDN-es elérést belső szolgáltatáshoz praktikusabb split DNS-sel megoldani. Ugyanis hairpin NAT esetében a forrás cím "elveszik", ha LAN-ról jön a forgalom, így a szerver log-ban csak egy csomó router IP-s kapcsolódást látsz, nem tudod melyik melyik klienstől származik. Míg split DNS-nél a belső kliensek valódi címét látod a szerberen is. Mikrotik-kel meg pofon egyszerű ezt megcsinálni.
Szerk: WG interfészt érdemesebb még alacsonyabb MTU-val futtatni. Nálunk az 1300 vált be univerzálisnak (hogy ne kelljen mindenhol kiszámolni, mi a max), ami nagyjából mindenféle internet kapcsolat MTU-val jól működik. Ilyen "magas" MTU-val lesz ami nem tud érdemben válaszolni, hiába működik mondjuk a ping az adott címre.
- A hozzászóláshoz be kell jelentkezni
Szia, köszönöm a választ!
- igen, az, hogy külső ip-vel kommunikál a belső hálóan, egy jogos meglátás, nem tudom, hogy mi okozza, de valszeg ez a baj forrása
. újra végignyálazom a kulcsokat
- a wg ip címe 10.10.10.1/24
- veszek egy nagy levegőt és megcsinálom a split dns-t
- már át is állítottam 1300-ra
- A hozzászóláshoz be kell jelentkezni
Próbáld a laptopot feléleszteni elsőre (az valószínű nem rendelkezik publikus IP címmel, hacsak nincs abban is WWAN kártya), vagy tiltsd le a telefonon a mobilnetet (hogy ne legyen publikus IP címe semmiképp sehonnan).
Ha úgy működik, akkor azt kell kitalálnod, a telefon miért publikus IP címmel akar kommunikálni az otthoni (gondolom Wifi) hálózatodon. Azt meg észre sem veszed, hogy nem a Wifi-n netezik a teló, hanem mobilneten (merthogy így az internet sem a vezetékes kapcsoladoton megy a telefon esetében, nem csak a WG kapcsolatnál okoz ez gondot).
- A hozzászóláshoz be kell jelentkezni
Kikapcsolt mobilnetnél létrejön a handshake:
/tool sniffer quick port=51820
Columns: INTERFACE, TIME, NUM, DIR, SRC-MAC, DST-MAC, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, SIZE, CPU
INTERFACE TIME NUM DIR SRC-MAC DST-MAC SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE CPU
ether5 102.52 39721 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 122 1
bridge 102.52 39722 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 122 1
bridge 102.562 39723 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 154 3
ether5 102.562 39724 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 154 3
bridge 102.562 39725 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 138 3
ether5 102.562 39726 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 138 3
ether5 102.566 39727 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 138 1
bridge 102.566 39728 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 138 1
ether5 102.566 39729 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 122 1
bridge 102.566 39730 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 122 1
ether5 102.566 39731 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 122 1
bridge 102.566 39732 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 122 1
bridge 103.274 39733 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 138 3
ether5 103.274 39734 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 138 3
ether5 103.339 39735 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 138 1
bridge 103.339 39736 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 138 1
bridge 103.496 39737 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 138 3
ether5 103.496 39738 -> D4:01:C3:3D:8E:DB 12:1A:3F:01:A7:18 185.180.88.194:51820 192.168.88.63:64548 ip:udp 138 3
ether5 103.577 39739 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 138 1
bridge 103.577 39740 <- 12:1A:3F:01:A7:18 D4:01:C3:3D:8E:DB 192.168.88.63:64548 185.180.88.194:51820 ip:udp 138 1
Viszont itt sem a wireguard-os ip címen kommunikál, ami a 10.10.10.2
- A hozzászóláshoz be kell jelentkezni
;;; Home Assistant source NAT fix
chain=srcnat action=src-nat to-addresses=185.180.88.194 src-address-list=WAN log=no log-prefix=""
Ezmi? Bármi ami a wan oldalról jön, az megy a .88.194-re, wireguard forgalmat is beleértve.
Szerintem hiába van input szabály a wireguard porta, ez előbb benatolja belülre és nem is kapja meg a mikrotik wireguard-ja.
- A hozzászóláshoz be kell jelentkezni
Köszi a tippet, logikusnak is tűnik. Letiltottam, wireguardot újraindítottam, de továbbra sincs handshake.
szerk.: Ja és a csomagok továbbra is mennek a 88.3-ra.
- A hozzászóláshoz be kell jelentkezni
Próbálj meg minden nem default config szabályt letiltani kivéve az inputot a wireguardnak, meg persze winbox-ot, hogy ki ne zárd magad. (különösen a harpin őrületeket szedd ki)
Vagy csinálj egy reset-et és kezd elölről, mert valami más is el van állitva.
Vagy dobj be egy teljes exporot, ha anonimizáltad.
- A hozzászóláshoz be kell jelentkezni
Ja ez
4 ;;; Home Assistant catch-all
chain=dstnat action=dst-nat to-addresses=192.168.88.3 dst-address-list=WAN log=no log-prefix=""
ugyanaz a marhaság, mint amit feljebb emlitettem, ezt is tiltsd le.
- A hozzászóláshoz be kell jelentkezni
Minden szabályt letiltva megy a wg. :)
- A hozzászóláshoz be kell jelentkezni
Na azért! :)
- A hozzászóláshoz be kell jelentkezni
Ami a Mikrotik-nek szól (MT IP címe a címzett ergo bekerül az input chain-be) és input-on be van engedve, és van is rajta szolgáltatás helyben, azt a MT lekezeli, nem NAT-olja befelé akkor sem, ha egy szabály azt lefedi.
Pl. 8291-en input-on engeded a Winbox-ot és van is Winbox ezen a porton (gyári default), és van egy DSTNAT, ami minden, az internet interfészen jövő forgalmat beNATol egy belső "szerverre", Winbox-on akkor is a Mikrotik lesz elérhető.
- A hozzászóláshoz be kell jelentkezni
A sniffből egyértelműen látszik, hogy nemhogy nem érzi magáénak, hanem dst-nat-olja.
- A hozzászóláshoz be kell jelentkezni
Szerk: alább a közös válaszom.
- A hozzászóláshoz be kell jelentkezni
Ha a 192.168.88.3:51820 nem a MT pub ip-je, akkor az bizony oda van natolva :)
- A hozzászóláshoz be kell jelentkezni
Értem már miért mondjátok!
Ez egy LAN felől (bridge/ether5 felől érkezik) kezdeményezett kapcsolat a router publikus IP címére, és azt DSTNATolja a HA felé a catch-all szabály miatt.
Valóban.
De az még mindig nincs meg nekem, miért egy publikus cím a forrás.
- A hozzászóláshoz be kell jelentkezni
*.nat.pool.telekom.hu - mobilnet? :)
- A hozzászóláshoz be kell jelentkezni
A szabályok letiltása után, teló 5g-n, wifi kikapcsolva és megy a wireguard:
/tool sniffer quick port=51820
Columns: INTERFACE, TIME, NUM, DIR, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, SIZE, CPU
INTERFACE TIME NUM DIR SRC-ADDRESS DST-ADDRESS PROTOCOL SIZE CPU
pppoe-out1 1.748 1 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 60 3
pppoe-out1 2.925 2 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 60 0
pppoe-out1 3.271 3 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 460 0
pppoe-out1 3.271 4 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 3.284 5 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 3.285 6 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 108 3
pppoe-out1 3.327 7 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 124 3
pppoe-out1 3.446 8 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 204 3
pppoe-out1 3.446 9 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 620 3
pppoe-out1 3.446 10 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 172 3
pppoe-out1 3.447 11 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 620 3
pppoe-out1 3.49 12 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 3.491 13 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 4.272 14 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 5.266 15 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 6.284 16 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 7.313 17 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 8.312 18 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 10.311 19 <- 37.76.29.151:50120 185.180.88.194:51820 ip:udp 124 0
pppoe-out1 13.908 20 -> 185.180.88.194:51820 37.76.29.151:50120 ip:udp 60 3
- A hozzászóláshoz be kell jelentkezni
szerk.: átraktam a helyére
- A hozzászóláshoz be kell jelentkezni
Hat en regebben probaltam 2 kliensel egyszerre csatlakozni ugyanarra wireguard port-ra de valahogy mindig elbacodott es akkor latam hogy masnak volt ezzel gondja es megoldas az volt hogy minden eszkoz kulon port. De mintha azt olvastam volna hogy ez a hiba mar javitva lett. Egy probat meger.
- A hozzászóláshoz be kell jelentkezni
Ha jól értem a működését, akkor egy wireguard-nak egy listen portja van és azért az fura lenne, ha minden egyes csatlakoztatandó eszköznek egy másikat kéne futtatni. Igazából letiltottam a második eszközt (laptopot), csak a telefon maradt, szóval ha nem barmolt el valamit végérvényesen az, hogy a laptopot bekonfiguráltam, akkor most biztosan nincsenek összeveszve.
- A hozzászóláshoz be kell jelentkezni
Csak olyankor fordul ez elő, ha ugyan azt a kliens konfigot felteszik több kliensre és azok egyszerre akarnak kommunikálni, ugyan azzal a privát/publikus kulcs párral. Akkor nem tudja megkülönböztetni a fogadó oldal, hogy kicsoda-kicsoda, és egyik kapcsolat sem fog működni.
WG-nál szigorúan minden kliensnek saját privát- és így publikus kulcs kell.
Akkor jó a több WG interfész (mint minden más VPN megoldásnál), ha különböző célokra, különböző korlátozásokkal szerenél több VPN-t egy időben. Pl. van site2site kapcsolat telephelyek felé és van home office-ból szóló kliens is. Ezeket célszerű két független VPN "szerverre" szétbontani (azért az idézőjel, mert a WG peer2peer, nincs dekikált szerver és dedikált kliens, max. kényszeríthető, hogy az egyik oldal csak válaszoljon, ne kezdeményezzen).
- A hozzászóláshoz be kell jelentkezni
Így már világos, köszönöm.
- A hozzászóláshoz be kell jelentkezni
Hat ez meg akkor volt amikor megjelent a wireguard es meg nem is volt elerheto UI alol es akkor meg eleg bugos volt. Az biztos hogy mindennek sajat kulcsa volt:)
- A hozzászóláshoz be kell jelentkezni
Olyan hibát láttam, hogy /32 helyett teljes subnetet (allowed-address vagy allowedips) odaadták minden kliensnek és a legutuljára csatlakzóé lett a forgalom. Linuxon is így állította be a kolléga, de ott valsz benyeli valami a problémát és a logikátlan konfiggal is működik. A routeros-en jogosnak tűnt, hogy a /32 kell neki, ha nem komplett alhálózatot akarok neki odaadni. A mostani topicban is ezt néztem először meg :)
A másik porttal gondolom több példányban futtattál külön wireguardot.
- A hozzászóláshoz be kell jelentkezni
Ez hülyeség. Ott is jelezd légyszi ahol ezt terjesztették.
Kliensenként külön IP és külön kulcs kell.
zászló, zászló, szív
- A hozzászóláshoz be kell jelentkezni
Van mar amugy "gyari" wireguard opcio is a mikrotiknel, ez a back to home es egesz jol mukodik. Megcsinalja a szukseges szabalyokat + ad egy relay-t ha mindket vegpontnak privat ip cime van is tudjanak kapcsolodni.
- A hozzászóláshoz be kell jelentkezni
+1
A config exportálható Wireguard kliens alá is, nem kell Mikrotik-es kliens hozzá (bár Windows alá jó lenne valami, mert a Wireguard kliens ott nagyon mostoha jószág), szerencsére nem sokat mókoltak a Wireguarddal (nem olyan májkrémszaftosan értelmezték át "de azértis" szabvány keretében :D )
Színes vászon, színes vászon, fúj!
Kérem a Fiátot..
- A hozzászóláshoz be kell jelentkezni
Szóval a wg megy és ez örömteli, csak az a gondom, hogy a nat szabályok hiányában a belső hálóról domain néven nem elérhetőek a szervereim. Ez végülis túlmutat a topic címén, mindenesetre mindenkinek nagyon köszönöm az ötleteket, segítséget! :)
Azért csak megkérdezem: ha a /ip dns static add name=https://szerverem.hu address=192.168.88.3 csak az nginx-re mutat, merthogy sajnos portot nem lehet megadni,akkor a reverse proxyn belül hogyan kéne megoldanom, hogy ő a megfelelő portra küldje a forgalmat? Ezen az ip-n jelenleg 6 szerver fut.
- A hozzászóláshoz be kell jelentkezni
Az [Interface] szekció alá be lehet tenni kliens oldalon, hogy:
DNS = <IP cím>
Windows alatt működik, gondolom Linux alatt is. Másik RouterOS alatt passz
Színes vászon, színes vászon, fúj!
Kérem a Fiátot..
- A hozzászóláshoz be kell jelentkezni
A DNS static-hoz csak az FQDN-t kell írni (tehát a szerverem.hu a https:// nélkül), és ha ezt a nevet a kliens feloldja a MT-en keresztül a 192.168.88.3 címre, akkor minden kérést, amit a szerverem.hu-ra küld, erre a belső címre fogja továbbítani, tehát DNS szinten nincs port meg ilyesmi, ez teljesen más területe a kommunikáció felépítésének.
Az, hogy minden FQDN-ed forgalma a belső hálózatról erre a címre menjen csak annyi, hogy minden FQDN-hez felveszel egy-egy A rekordot, és megadod ugyan ezt a címet hozzá. Akkor minden saját tartományra irányuló kérés bentről ugyan arra a szerveredre (reverse proxy) fog menni.
Aztán az nginx konfigban tudod szétszortírozni, hogy milyen FQDN-t milyen tényleges belső szerver felé továbbítson, milyen porton. Ha felteszel egy Nginx Proxy Manager-t, akkor ott mindezt kényelmesen egy webes admin felületen tudod bállítani, nem kell az nginx konfigot kézzel írogatnod. Sőt, a Let's Encrypt tanúsítványt is intézi neked automatikusan. Ez létezik Docker konténerként és Proxmox CT-ként is az egyszerű telepítés végett.
- A hozzászóláshoz be kell jelentkezni
Rendben. Megcsináltam az A rekordokat domain névvel pl. joplin.sajatdomain.hu és az 192.168.88.3-ra irányítottam, azaz a már meglévő nginx proxy managerhez. Ezt amúgy home assistant add-onként futtatom. Mind a hat domannel megcsináltam az előbb leírtat, minden az 192.168.88.3-ra mutat. Az nginx-ben proxy hostként már meg voltak ezek a bejegyzések, ide irányított a catch-all szabály is.
A telefonomon a wireguard appban a peer dns szerver címét módosítottam 192.168.88.1-re. A telefonról pingelhető az 192.168.88.1, még sincs névfeloldás. Átmenetileg a wireguard-ot érintő nat szabályt is engedélyeztem, de ettől sem lett. Mit kéne átállítanom?
/ip dns print
servers: 1.1.1.1
8.8.8.8
dynamic-servers: 185.106.112.70
185.106.112.170
use-doh-server:
verify-doh-cert: no
doh-max-server-connections: 5
doh-max-concurrent-queries: 50
doh-timeout: 5s
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
address-list-extra-time: 0s
vrf: main
mdns-repeat-ifaces:
cache-used: 157KiB
/ip dhcp-server network print
Columns: ADDRESS, GATEWAY, DNS-SERVER
# ADDRESS GATEWAY DNS-SERVER
;;; defconf
0 192.168.88.0/24 192.168.88.1 192.168.88.1
/ip dns static print
Flags: X - DISABLED
Columns: NAME, TYPE, ADDRESS, TTL
# NAME TYPE ADDRESS TTL
;;; defconf
0 router.lan A 192.168.88.1 1d
1 a.sajat.hu A 192.168.88.3 1d
2 b.sajat.hu A 192.168.88.3 1d
3 c.sajat.hu A 192.168.88.3 1d
4 d.sajat.hu A 192.168.88.3 1d
5 e.sajat.hu A 192.168.88.3 1d
6 f.sajat.hu A 192.168.88.3 1d
- A hozzászóláshoz be kell jelentkezni
nslookup-al nézd meg egy gépen (ne telefonon) hogy ha a szervert a mikrotikre állitod (azon az ip-n amit a wg configban felvettél dns-ként) feloldja-e a belsős cimeket. (a gép is "kivül" legyen, wg-al csatlakozzon be a mikrotikre)
Ha igen, akkor a telefonos wg kliens a hülye és nem a jó dns szervert kérdezi.
Ha nem, akkor lehet tovább kutakodni a mikrotik-en.
- A hozzászóláshoz be kell jelentkezni
nslookup a.sajat.hu
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: a.sajat.hu
Address: 192.168.88.3
a.sajat.hu canonical name = xxx.mynetname.net.
- A hozzászóláshoz be kell jelentkezni
Gondolom a .88.3 a jó cim.
Tehát erről a gépről, ebben a felállásban (wg tunnel kiépitve, configból a dns-t felvette) működnie kell az oldalnak.
- A hozzászóláshoz be kell jelentkezni
Bocsánat, lemaradt, de igen, laptop alól minden tök jól működik. Csak ios alól nem, az egyszerűen megkerüli a wireguard dns beállítását. A tunnel létrejön, csak nincs névfeloldás.
- A hozzászóláshoz be kell jelentkezni
ios-ről nem tudok nyilatkozni, lehet az nem engedi felülbirálni wg-ból a dns szervert.
- A hozzászóláshoz be kell jelentkezni
Nekem az iOS az iOS-es WG kliensben beirt DNS servert hasznalja. Mivel es hogyan allapitottad meg, vagy jutottal arra a kovetkeztetesre, hogy nem azt hasznalja?
- A hozzászóláshoz be kell jelentkezni
Azért gondolom, mert míg a laptopon megtörténik a lanon lévő szerverek wan oldali domain nevének feloldása, addig a telefonon nem.
- A hozzászóláshoz be kell jelentkezni
Igen, erre lettem volna kivancsi, hogy hogyan jossz ra, hogy ez nem tortenik meg. Valami nevfeloldast tesztelo appal nezted es nem oldotta fel? Vagy a MobileSafari szerint nem letezik a domainnev?
- A hozzászóláshoz be kell jelentkezni
Name based virtual hostingnak hívják amit keresel, csak az nginx-ben kell állítani bármit is és semmi köze nincs se a nathoz se a wireguardhoz.
zászló, zászló, szív
- A hozzászóláshoz be kell jelentkezni
Ha jól értem, akkor eleve ezt használom. De lehet, hogy félreértettem a dolgot:
/ip dns static print
Flags: X - DISABLED
Columns: NAME, TYPE, ADDRESS, TTL
# NAME TYPE ADDRESS TTL
;;; defconf
0 router.lan A 192.168.88.1 1d
1 a.sajat.hu A 192.168.88.3 1d
2 b.sajat.hu A 192.168.88.3 1d
3 c.sajat.hu A 192.168.88.3 1d
4 d.sajat.hu A 192.168.88.3 1d
5 e.sajat.hu A 192.168.88.3 1d
6 f.sajat.hu A 192.168.88.3 1d
Nginx proxy manager-ben pedig mindegyik megkapja a maga portját, nyilván ugyanazon ip alatt. Így értetted?
- A hozzászóláshoz be kell jelentkezni