Роутинг интенет трафика внути Wireguard сети

RIP, OSFP, BGP, MPLS/VPLS
dogmaod
Сообщения: 8
Зарегистрирован: 06 ноя 2023, 12:23

Роутинг интенет трафика внути Wireguard сети

Сообщение dogmaod »

Добрый день
Прошу консультации как завернуть интернет трафик.

Дано:
1. Mikrotik Wireguard server 10.20.0.1/24 – WAN IP 214.5.4.5
2. Linux server Wrieguard client 10.20.0.2 - WAN 62.244.2.3
3. OpenWRT Router Wrieguard client 10.20.0.3 - WAN 213.0.23.3

Когда поднять туннель на Linux server Wrieguard client 10.20.0.2 весь интернет трафик идет через
Mikrotik WAN IP 214.5.4.5.
Задача завернуть весть интернет трафик с Linux server Wrieguard client 10.20.0.2 через
OpenWRT Router Wrieguard client 10.20.0.3.

Пробовал на Mikrotik создать доп таблицу роутинга rtab-1.

Добавить ротуинг по умолчанию через 10.20.0.3
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.20.0.3 pref-src="" routing-table=\
rtab-1 scope=30 suppress-hw-offload=no target-scope=10

Правило определения исходящего адреса 10.20.0.2/32 и добавление в таблицу rtab-1
/routing rule
add action=lookup disabled=no dst-address= interface=wireguard1_test src-address=\
10.20.0.2/32 table=rtab-1

Но трафик по прежнему идет через Mikrotik WAN 214.5.4.5
Какие варианты можно сделать ?

Визуальную схему прилагаю:
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3989
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение Chupaka »

Здравствуйте.

Что такое wireguard1_test? Упоминается лишь раз и без пояснений. Трафик у вас действительно идёт от 10.20.0.2, за ним незанатированных клиентов нет? Что за "dst-address=" - оно так на самом деле? Не "dst-address=0.0.0.0/0" какой-нибудь?..

Я бы вместо routing rule использовал Firewall Mangle, там весь трафик с in-interface=WG_to_Linux_server маркировал (и убедиться, что Fasttrack на этот трафик не действует или вообще не используется)
dogmaod
Сообщения: 8
Зарегистрирован: 06 ноя 2023, 12:23

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение dogmaod »

interface=wireguard1_test - это интерфейс wireguard сети 10.20.0.1/24 на микротике. На Микротике настроен маскарадинг.
Сейчас весь интернет трафик идет через микротик 10.20.0.1.
dst-address=0.0.0.0/0 - это я имею введу default route.
Аватара пользователя
Chupaka
Сообщения: 3989
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение Chupaka »

Попробуйте переделать так, как я написал. Там хоть понятно будет, ловит ли правило какие-нибудь пакеты.
dogmaod писал(а): 26 фев 2024, 13:24 dst-address=0.0.0.0/0 - это я имею введу default route.
А я имею в виду, что у вас там пустое значение:
...abled=no dst-address= interface=wiregua...
dogmaod
Сообщения: 8
Зарегистрирован: 06 ноя 2023, 12:23

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение dogmaod »

Спасибо.
Попробую отпишусь.
dogmaod
Сообщения: 8
Зарегистрирован: 06 ноя 2023, 12:23

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение dogmaod »

/routing rule
add action=lookup disabled=no dst-address=0.0.0.0/0 interface=wireguard1_test \
src-address=10.20.0.2/32 table=rtab-1

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.20.0.3 pref-src="" \
routing-table=rtab-1 scope=30 suppress-hw-offload=no target-scope=10
Трафик не ходит Трасировка заканчиватся микротиком
10.20.0.1


root@localhost ~]# tracepath 8.8.8.8
1?: [LOCALHOST] pmtu 1400
1: 10.20.0 .1 45.790ms
1: 10.20.0 .1 46.293ms
2: 10.20.0 .1 45.923ms !H

Resume: pmtu 1400
Аватара пользователя
Chupaka
Сообщения: 3989
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение Chupaka »

Т.е. три хопа одинаковых? Возможно, 10.20.0 .1 маскарадит трафик не в меру...

Ну и я же писал про переделку на Firewall Mangle для маркировки, вместо /routing rule

Кстати, "!H" - host unreachable? Такое чувство, что с маршрутом где-то вопрос...
Аватара пользователя
Chupaka
Сообщения: 3989
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение Chupaka »

Я в таких случаях обычно включаю пинг на какой-нибудь 1.1.1.1 и иду по цепочке оборудования, глядя, везде ли есть пакеты, которые там должны проходить
dogmaod
Сообщения: 8
Зарегистрирован: 06 ноя 2023, 12:23

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение dogmaod »

Таки трафик до 10.20.0.3 не доходит.

Хотя на openWrt есть lan сеть 10.22.0.1/24 и на микротике прописан статик роут через 10.20.0.3 и сеть доступна. Куда копать дальше не знаю
Аватара пользователя
Chupaka
Сообщения: 3989
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение Chupaka »

У OpenWRT в настройках пира Wireguard в Allowed networks что указано?
dogmaod
Сообщения: 8
Зарегистрирован: 06 ноя 2023, 12:23

Re: Роутинг интенет трафика внути Wireguard сети

Сообщение dogmaod »

У OpenWRT в настройках пира Wireguard в Allowed networks: list allowed_ips '0.0.0.0/0'
Также побывал сделать через Mangle:

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=rtab-1 passthrough=yes src-address=10.20.0.2

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.20.0.3 routing-table=rtab-1 scope=30 suppress-hw-offload=no target-scope=10

Тоже роут до 10.20.0.3 не идет.