Помогите с написанием маршрутизации.
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Помогите с написанием маршрутизации.
Заранее извиняюсь, но к сожалению самостоятельно этот вопрос победить не удалось. Знаний у меня ноль совершенно в данном вопросе.
Ситуация в следующем, я установил Ubuntu на AWS и поднял WG сервер на нем к WG буду подключаться чтоб была возможность удаленно лазить во внутренних сетях, их две.
Клиенты настроены на микротиках, к серверу подключаются и друг друга пингуют. Но зайти во внутренние сети нельзя, поскольку не прописаны маршруты, прошу помощи их правильно описать.
Сервер на AWS
Внешний белый адрес - 35.177.87.ЧЧЧ
Адрес в шлюзе - 10.50.0.1
Микротик 1
Внешний адрес - 176.38.11.ЯЯ/24
Адрес в шлюзе - 10.50.0.2
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.88.0
Микротик 1
Внешний адрес - серый
Адрес в шлюзе - 10.50.0.4
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.1.0
Вывод netstat -n -r прикрепил ниже
Ситуация в следующем, я установил Ubuntu на AWS и поднял WG сервер на нем к WG буду подключаться чтоб была возможность удаленно лазить во внутренних сетях, их две.
Клиенты настроены на микротиках, к серверу подключаются и друг друга пингуют. Но зайти во внутренние сети нельзя, поскольку не прописаны маршруты, прошу помощи их правильно описать.
Сервер на AWS
Внешний белый адрес - 35.177.87.ЧЧЧ
Адрес в шлюзе - 10.50.0.1
Микротик 1
Внешний адрес - 176.38.11.ЯЯ/24
Адрес в шлюзе - 10.50.0.2
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.88.0
Микротик 1
Внешний адрес - серый
Адрес в шлюзе - 10.50.0.4
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.1.0
Вывод netstat -n -r прикрепил ниже
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Последний раз редактировалось maxim_minton 27 дек 2021, 18:25, всего редактировалось 1 раз.
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Попробовал сделать это командой "sudo ip route add 192.168.88.0/24 via 10.50.0.2" маршрут добавился, но внутренняя сеть микротика не пингуется все равно. нужно было делать как то по другому?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
В настройках пира на Ubuntu удалённые подсети указаны в AllowedIPs?
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
Посмотреть в конфиге же, который вы к интерфейсу применяете
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Аааа... Там стоит 0.0.0.0/0
Или там нужно явно указать все сети?
Или там нужно явно указать все сети?
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
Нет, должно хватать 0.0.0.0/0
А попробуйте "sudo ip route add 192.168.88.0/24 dev wg0", без указания IP шлюза
А попробуйте "sudo ip route add 192.168.88.0/24 dev wg0", без указания IP шлюза
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Не сработало
Отключил фарввол на микротике, но тоже без эффекта...
Отключил фарввол на микротике, но тоже без эффекта...
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Сделал еще пару выводов. Может поможет натолкнуть на мысль...
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Только что еще глянул, сеть 10.50.0.0 пингуется со стороны сети 192.168.88.0.
А в обратную сторону, нет...
А в обратную сторону, нет...
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
И 10.50.0.4 тоже пингуется из 192.168.88.0/24?
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
А не может ли быть проблема в маске? Я сейчас же ставил /24, а в конфиге пира, при создании нового клиента мне сервер выдал маску /32
Еще в процессе гугления наткнулся на такое... Я ничего такого не делал, никаких правил кроме тех, что по умолчанию не создавал. Относится ли это к моему случаю?
Еще в процессе гугления наткнулся на такое... Я ничего такого не делал, никаких правил кроме тех, что по умолчанию не создавал. Относится ли это к моему случаю?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
Пир и должен быть /32, а вот уже через него маршрутизируется /24.
В общем, если последний пинг работает - значит, в целом всё работает, просто надо понять, что у вас локально творится Попробуйте глянуть sudo iptables-save, может, прояснит.
З.Ы. Пожалуйста, не надо текст скриншотами, это плохая привычка пользователей Одноклассников и Вайбера
В общем, если последний пинг работает - значит, в целом всё работает, просто надо понять, что у вас локально творится Попробуйте глянуть sudo iptables-save, может, прояснит.
З.Ы. Пожалуйста, не надо текст скриншотами, это плохая привычка пользователей Одноклассников и Вайбера
Код: Выделить всё
Текст из консоли вполне можно вставить текстом
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Скриншотами мне казалось нагляднее, и форматирование не пропадает
Код: Выделить всё
ubuntu@ip-172-31-18-157:~$ sudo iptables-save
# Generated by iptables-save v1.8.4 on Tue Dec 28 09:01:58 2021
*nat
:PREROUTING ACCEPT [10:596]
:INPUT ACCEPT [9:472]
:OUTPUT ACCEPT [20:1885]
:POSTROUTING ACCEPT [6:542]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source 35.177.87.ЧЧЧ
COMMIT
# Completed on Tue Dec 28 09:01:58 2021
# Generated by iptables-save v1.8.4 on Tue Dec 28 09:01:58 2021
*filter
:INPUT ACCEPT [405:37510]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [300:42881]
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -o wg0 -j ACCEPT
-A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISH ED -j ACCEPT
COMMIT
# Completed on Tue Dec 28 09:01:58 2021
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
пытался добавить правила
iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
И
iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера
Но тоже ничего не изменило
iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
И
iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера
Но тоже ничего не изменило
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
Ну, у вас-то, собственно, везде ACCEPT, так что дополнительно ничего создавать нет смысла.
Вы когда пингуете с ошибкой (не скопирую, посколько там картинки ), у вас сама Убунта отвечает, что Host Unreachable - вот это странновато... Т.е. всё останавливается на сервере, никуда по сети не уходя
Вы когда пингуете с ошибкой (не скопирую, посколько там картинки ), у вас сама Убунта отвечает, что Host Unreachable - вот это странновато... Т.е. всё останавливается на сервере, никуда по сети не уходя
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Т.е. где то AWS имеет свой фаерволл?
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
Нет, AWS - это уже за пределами Убунты, а тут что-то внутри...
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Блин, ну у меня вообще мыслей никаких Я создавал инстанс и ставил убунту с настройками по умолчанию, я там ничего не менял.
-
- Сообщения: 79
- Зарегистрирован: 14 фев 2017, 10:18
Re: Помогите с написанием маршрутизации.
Ура! Заработало. Я вас неправильно понял в цитируемом сообщении. Я не знал, что настройки пира на СЕРВЕРЕ нужно посмотреть. и там небыло указано сетки за микротиками. Я посмотрел только AllowedIPs пира который создавал на микротиках, вот в этом и был затык.
Если можно оставлю ссылку, вдруг кто такой же ламер как я будет настраивать, может поможет понять проблему.
https://vc.ru/dev/155768-stroim-vpn-tun ... -wireguard
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Помогите с написанием маршрутизации.
Рад, что разобрались. Странно только, что пакеты через Убунту ходили нормально, а с неё самой - нет... Без AllowedIPs вообще ничего из тех подсетей не должно ходить... Хотя, видимо, у вас медвежью услугу оказало правило Masquerade на микротике.