Помогите с написанием маршрутизации.

RIP, OSFP, BGP, MPLS/VPLS
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Заранее извиняюсь, но к сожалению самостоятельно этот вопрос победить не удалось. Знаний у меня ноль совершенно в данном вопросе.
Ситуация в следующем, я установил Ubuntu на AWS и поднял WG сервер на нем к WG буду подключаться чтоб была возможность удаленно лазить во внутренних сетях, их две.
Клиенты настроены на микротиках, к серверу подключаются и друг друга пингуют. Но зайти во внутренние сети нельзя, поскольку не прописаны маршруты, прошу помощи их правильно описать.
Сервер на AWS
Внешний белый адрес - 35.177.87.ЧЧЧ
Адрес в шлюзе - 10.50.0.1

Микротик 1
Внешний адрес - 176.38.11.ЯЯ/24
Адрес в шлюзе - 10.50.0.2
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.88.0

Микротик 1
Внешний адрес - серый
Адрес в шлюзе - 10.50.0.4
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.1.0

Вывод netstat -n -r прикрепил ниже
Screenshot-2021-12-26-170226.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Последний раз редактировалось maxim_minton 27 дек 2021, 18:25, всего редактировалось 1 раз.
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Попробовал сделать это командой "sudo ip route add 192.168.88.0/24 via 10.50.0.2" маршрут добавился, но внутренняя сеть микротика не пингуется все равно. нужно было делать как то по другому?
Screenshot-2021-12-27-125119.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

В настройках пира на Ubuntu удалённые подсети указаны в AllowedIPs?
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Chupaka писал(а): 27 дек 2021, 17:25 В настройках пира на Ubuntu удалённые подсети указаны в AllowedIPs?
Затрудняюсь сказать. Как это проверить?
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

Посмотреть в конфиге же, который вы к интерфейсу применяете :)
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Аааа... Там стоит 0.0.0.0/0
Или там нужно явно указать все сети?
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

Нет, должно хватать 0.0.0.0/0

А попробуйте "sudo ip route add 192.168.88.0/24 dev wg0", без указания IP шлюза
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Не сработало :(
Отключил фарввол на микротике, но тоже без эффекта...
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Сделал еще пару выводов. Может поможет натолкнуть на мысль...
Screenshot 2021-12-27 185626.png
Screenshot 2021-12-27 185455.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Только что еще глянул, сеть 10.50.0.0 пингуется со стороны сети 192.168.88.0.
А в обратную сторону, нет...
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

И 10.50.0.4 тоже пингуется из 192.168.88.0/24?
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Chupaka писал(а): 27 дек 2021, 23:47 И 10.50.0.4 тоже пингуется из 192.168.88.0/24?
Да.
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

А не может ли быть проблема в маске? Я сейчас же ставил /24, а в конфиге пира, при создании нового клиента мне сервер выдал маску /32

Еще в процессе гугления наткнулся на такое... Я ничего такого не делал, никаких правил кроме тех, что по умолчанию не создавал. Относится ли это к моему случаю?
Screenshot 2021-12-27 233620.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

Пир и должен быть /32, а вот уже через него маршрутизируется /24.

В общем, если последний пинг работает - значит, в целом всё работает, просто надо понять, что у вас локально творится :) Попробуйте глянуть sudo iptables-save, может, прояснит.

З.Ы. Пожалуйста, не надо текст скриншотами, это плохая привычка пользователей Одноклассников и Вайбера :)

Код: Выделить всё

Текст из консоли вполне можно вставить текстом
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Скриншотами мне казалось нагляднее, и форматирование не пропадает :)

Код: Выделить всё

ubuntu@ip-172-31-18-157:~$ sudo iptables-save
# Generated by iptables-save v1.8.4 on Tue Dec 28 09:01:58 2021
*nat
:PREROUTING ACCEPT [10:596]
:INPUT ACCEPT [9:472]
:OUTPUT ACCEPT [20:1885]
:POSTROUTING ACCEPT [6:542]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source 35.177.87.ЧЧЧ
COMMIT
# Completed on Tue Dec 28 09:01:58 2021
# Generated by iptables-save v1.8.4 on Tue Dec 28 09:01:58 2021
*filter
:INPUT ACCEPT [405:37510]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [300:42881]
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -o wg0 -j ACCEPT
-A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISH                    ED -j ACCEPT
COMMIT
# Completed on Tue Dec 28 09:01:58 2021
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

пытался добавить правила

iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

И

iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера

Но тоже ничего не изменило :)
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

Ну, у вас-то, собственно, везде ACCEPT, так что дополнительно ничего создавать нет смысла.

Вы когда пингуете с ошибкой (не скопирую, посколько там картинки ;)), у вас сама Убунта отвечает, что Host Unreachable - вот это странновато... Т.е. всё останавливается на сервере, никуда по сети не уходя
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Т.е. где то AWS имеет свой фаерволл?
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

Нет, AWS - это уже за пределами Убунты, а тут что-то внутри...
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Блин, ну у меня вообще мыслей никаких :) Я создавал инстанс и ставил убунту с настройками по умолчанию, я там ничего не менял.
maxim_minton
Сообщения: 79
Зарегистрирован: 14 фев 2017, 10:18

Re: Помогите с написанием маршрутизации.

Сообщение maxim_minton »

Chupaka писал(а): 27 дек 2021, 17:25 В настройках пира на Ubuntu удалённые подсети указаны в AllowedIPs?
Ура! Заработало. Я вас неправильно понял в цитируемом сообщении. Я не знал, что настройки пира на СЕРВЕРЕ нужно посмотреть. и там небыло указано сетки за микротиками. Я посмотрел только AllowedIPs пира который создавал на микротиках, вот в этом и был затык.

Если можно оставлю ссылку, вдруг кто такой же ламер как я будет настраивать, может поможет понять проблему.
https://vc.ru/dev/155768-stroim-vpn-tun ... -wireguard
Аватара пользователя
Chupaka
Сообщения: 4080
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Помогите с написанием маршрутизации.

Сообщение Chupaka »

Рад, что разобрались. Странно только, что пакеты через Убунту ходили нормально, а с неё самой - нет... Без AllowedIPs вообще ничего из тех подсетей не должно ходить... Хотя, видимо, у вас медвежью услугу оказало правило Masquerade на микротике.