configurazione wireguard client

[cencio3]

salve
ho una situazione di questo tipo: LAN server 192.168.1.1 LAN del client (ufficio) 192.168.1.100 .Sono riuscito a collegare il telefono e tutto funziona correttamente. Ho difficoltà con il client (peer) dell'ufficio. Con le seguenti configurazioni server e client si pingano, ma non ho accesso alla rete lan del server e viceversa. Questa la configurazione del server:

Address = 192.168.1.30
ListenPort = xxxx
#SaveConfig = true
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j AC>
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j >
#ListenPort = xxxxx
PrivateKey = xxxxxxxxx

[Peer]
#motorola
PublicKey = xxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.1.250

[Peer]
#ufficio
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 192.168.1.156

mentre questa e' quella del client:

[interface]
PrivateKey = xxxxxxxxxxxxx
Address = 192.168.1.156
DNS = 192.168.1.1


#PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j A>
#PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j>


[Peer]
PublicKey = xxxxxxxxxxxxx
AllowedIPs = 192.168.1.30
EndPoint = xxxxx:xxxxx
PersistentKeepalive = 30

se aggiungo alla configurazione del client, in AllowedIP 192.168.1.1/24 la rete diventa inaccessibile via SSH. Ho provato anche ad eliminare le regole del firewall, ma senza risultato. Da quel poco che ci capisco sembra che avvenga una sovrapposizione delgi indirizzi IP ...........Qualche suggerimento?

[thece]

premesso che non conosco WireGuard, nel senso che non mi è mai capitato di configurarlo, quindi non ne conosco le peculiarità, direi che probabilmente il tuo è un "banale" problema di routing.
Controlla la tabella di routing. La subnet cui appartiene il client della VPN e la subnet cui appartiene il client della VPN devono essere differenti, non possono essere entrambe 192.168.1.0/24

... LAN server 192.168.1.1 LAN del client (ufficio) 192.168.1.100 ...

Piccola nota: 192.168.1.1 e 192.168.1.100 sono due indirizzi IP, non rappresentano una rete. Questo 192.168.1.0/24 = 192.168.1.0/255.255.255.0 (ad esempio) rappresenta un'intera rete.

[cencio3]

hai ragione, mi sono espresso male, in realta' sono i due gateway, e si, penso che il problema sia che entrambi le lan hanno la stessa subnet. Mi ha confuso l'attuale VPN fatta con Openvpn in modalità bridge. Ora provo a cambiare la rete del client in 192.168.0.0/24

[thece]

Se può esserti di aiuto per chiarirti le idee con WireGuard, QUI avevo postato degli appunti sull'installazione di OpenVPN in modalità routed.
Gli appunti saranno oramai obsoleti ma le linee guida e lo schema di rete rimangono ancora validi.

[thece]

...

Ne ho approfittato per provare ad installare e configurare WireGuard di fianco al mio server OpenVPN: confermo tutto quanto ti ho scritto nel mio precedente post.

Ho replicato la mia configurazione di OpenVPN

wg0.conf

Codice: Seleziona tutto

[Interface]
PrivateKey = <Server's Private Key>
Address = 10.0.1.1/24
ListenPort = 51820
SaveConfig = false

[Peer]
# Client 01
PublicKey = <Peer's Public Key>
AllowedIPs = 10.0.1.2/32

wg0.client.01.conf

Codice: Seleziona tutto

[Interface]
PrivateKey = <Client's Private Key>
Address = 10.0.1.2/24

[Peer]
PublicKey = <Server's Public Key>
Endpoint = AAA.BBB.CCC.DDD:51820
AllowedIPs = 10.0.1.0/24, 192.168.0.0/24
PersistentKeepalive = 60

10.0.1.0/24 è la rete della VPN di WireGuard, 192.168.0.0/24 è la rete che voglio raggiungere dietro la rete della VPN

Come ho indicato nel post relativo a OpenVPN:

- sul server ho (è) abilitato il forwarding dei pacchetti IP

- sul server ho (è) abilitato il masquerading dei pacchetti IP

Codice: Seleziona tutto

# Dove 10.0.1.0/24 è la subnet assegnata alla scheda di rete virtuale della VPN WireGuard
$IPTABLES -t nat -A POSTROUTING -s 10.0.1.0/24 ! -d 10.0.1.0/24 -j MASQUERADE

[Filoteo]

PersistentKeepalive = 60 non è necessario in un modello client-server, diverso se si tratta di collegare due reti.

[thece]

PersistentKeepalive = 60 non è necessario in un modello client-server, diverso se si tratta di collegare due reti.

Grazie. Si, ho letto la documentazione.
Nel mio scenario il server WireGuard è nattato. Con quella feature abilitata mi pare che la connessione funzioni meglio. Comunque ho impostato un keepalive poco aggressivo.

[Filoteo]

Nel mio scenario il server WireGuard è nattato.

Il keepalive è necessario quando si vuole mantenere aperta la sessione tra i peer indipendentemente dal fatto che avvenga un trasferimento di dati esplicito. Se è il client a iniziare la connessione verso il server non è necessario in quanto la sessione verrebbe aperta on demand. Il keepalive comporterebbe un consumo in più di batteria (se portatile o smartphone ovviamente), dovendosi “risvegliare”.

[cencio3]

mi confonde una cosa....gli IP assegnati ai due raspberry..... ho modificato la lan dell'ufficio, adesso la LAN e' 192.168.0.0/24 di conseguente l'IP statico del raspberry-client e' 192.68.0.156, la LAN del server e' 192.168.1.0/24 e' l'indirizzo del raspberry-server e' 192.168.1.30. La configurazione automatica per il telefono ha assegnato un AllowedIP 192.168.1.30/32, 192.168.1.0/24 e tutto funziona, infatti grazie a 192.168.1.0/24 riesco a raggiongere tutta la LAN del server. Quindi se ho capito bene, nel mio caso, in allowedIP del client basta che inserisca gli stessi indirizzi, per far si che le due LAN siano raggiungibili da entrambi i lati. Come avevo con OpenVPN?

[thece]

... ho modificato la lan dell'ufficio, adesso la LAN e' 192.168.0.0/24 di conseguente l'IP statico del raspberry-client e' 192.68.0.156 ...

LAN ufficio: OK

... la LAN del server e' 192.168.1.0/24 e' l'indirizzo del raspberry-server e' 192.168.1.30 ...

Altra LAN (casa?): OK

... e tutto funziona ...

Uhm ... e la LAN della VPN???

Lo smartphone come si collega ad Internet? Rete cellulare? WIFI? Se si, di quale LAN?

Per una maggiore chiarezza espositiva dovresti postare uno schema più o meno completo delle LAN. Tipo quello che ho inserito io nei miei appunti.



... sulla base delle cose che hai scritto, ne ho abbozzato uno io ... da completare!

[cencio3]

non ho completato indicando la rete VPN perche' e' proprio quello che mi confonde. Se guardi il mio wg0.conf del server io indicato l'IP del raspy-server, infatti il cellulare che si connette tramite rete telefonica, ha come allowedIP 192.168.1.30/32, 192.168.1.0/24 (che gli permette l'accesso a tutta la LAN domestica). Te utilizzi una subnet 10.0.1.0/24 per la rete VPN assegnando 10.0.1.1 al server e 10.0.1.2 al client...poi il client lo instradi sulla subnet 192.168.0.0 (che presumo sia la LAN del tuo server) e fino qui ho capito. Mentre la mia LAN domestica (server 192.168.1.0/24) e' gia' la stessa della VPN. Mi scuso se non mi spiego bene, ma sto imparando e non e' facile . Quindi con le conf. che ho postato, dall'ufficio pingo tutta la LAN di casa, da casa tutto l'ufficio, ma se provo tramite browser ad accedere ad una periferica nell'una o nell'altra LAN e' irraggiungibile

[thece]

... ma sto imparando e non e' facile ...

Tranquillo, nessuno è nato imparato.

Se guardi il mio wg0.conf ...

Nel tuo primo post, non avendo postato anche lo schema della rete, non riesco a giudicare se hai fatto le cose nel modo opportuno.

... Te utilizzi una subnet 10.0.1.0/24 per la rete VPN assegnando ...

A mio avviso lo dovresti DEVI (leggi dopo) fare anche tu: assegna alla rete della VPN una sua subnet a tua scelta.
Il fatto che, sullo stesso host, tu assegni alle due schede di rete un indirizzo IP sulla stessa subnet può portare a dei malfunzionamenti sul networking.
Bisognerebbe verificare come WireGuard istruisce la tabella di routing, vedere che istradamenti sono presenti e verificare effettivamente che giro fanno.

Se però per te la cosa funziona, non hai problemi e sei contento così, lascia tutto come è.

... ma se provo tramite browser ad accedere ad una periferica nell'una o nell'altra LAN e' irraggiungibile

Spero che per browser tu non intenda un browser web, ma piuttosto la funzione per l'esplorazione delle risorse in rete locale (sottinteso: risorse condivise tramite protocollo di rete SMB). E corretto?
Quella funzione ... se funziona ... su Windows si, su Linux dipende ... dovrebbe trovare solamente le risorse condivise sulla subnet cui appartiene la scheda di rete.

[thece]

Se però per te la cosa funziona, non hai problemi e sei contento così, lascia tutto come è.

Ho voluto provare e toccare con mano.

Che piccione che sono! Ma come fa a funzionarti?
Sull'host che fa da server WireGuard ho assegnato alla scheda di rete Ethernet (eth0) e alla scheda di rete virtuale di WireGuard (wg0) un indirizzo IP sulla stessa subnet (192.168.0.0 / 24)
Questa è la tabella di routing dopo aver attivato il server WireGuard

Codice: Seleziona tutto

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wg0     <---<< (1)
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 eth0    <---<< (2)

La rotta (1) verrà selezionata sempre prima della rotta (2) poichè la metrica è inferiore, ergo: ciao ciao al gateway (192.168.0.1) e a tutti gli host direttamente collegati al gateway.
Se le tarocchi a mano cambiandone la metrica, quindi invertendone la priorità, non funzionerà più la VPN.

Quindi

...

... Te utilizzi una subnet 10.0.1.0/24 per la rete VPN assegnando ...

A mio avviso lo dovresti DEVI fare anche tu: assegna alla rete della VPN una sua subnet a tua scelta.
...

Per far funzionare una cosa del genere le schede di rete eth0 e wg0 dovrebbero essere unite in un bridge, cosa che OpenVPN può gestire, WireGuard no (che io sappia, al momento).

[cencio3]

infatti , la precendente configurazione che avevo, su sistemi windows era con openVPN in bridge. Quindi mi confermi che wireguard non puo essere configurato in bridge?....sarebbe un peccato

[thece]

infatti , la precendente configurazione che avevo, su sistemi windows era con openVPN in bridge. Quindi mi confermi che wireguard non puo essere configurato in bridge?....sarebbe un peccato

Per quanto di mia conoscenza, WireGuard non è in grado di gestire bridge tra interfacce di rete.
I bridge vengono gestiti al livello 2 (DataLink) dello stack OSI, Wireguard lavora al livello 3 (Network).

[EDIT]

Se preferisci utilizzare una VPN in modalità bridged ti suggerisco di orientarti verso OpenVPN, la cui complessità di configurazione è però maggiore rispetto a quella di WireGuard.
Se preferisci continuare ad uilizzare WireGuard ti suggerisco di rivedere l'architettura del tue tre LAN (casa, ufficio, VPN), quindi di ridefinire le opportune subnet.

Tieni presente però che le mie conoscenze sono limitate, magari @Filoteo può darti qualche indicazione in più.
Fino a due giorni fa io ho sempre (e solo) utilizzato OpenVPN, conoscevo WireGuard ma, come ti ho scritto in precedenza, non lo avevo mai provato. Devo dire che sono rimasto molto colpito dalla sua imbarazzante velocità di configurazione.

[Filoteo]

Non ho capito se vuoi raggiungere la rete del server dal tuo telefono mentre quest'ultimo è in ufficio oppure collegare via WireGuard la rete del server e la rete dell'ufficio. In entrambi i casi ti consiglio caldamente di assegnare a entrambe le reti una sottorete nel range 192.168.0.0/16 distinta per sede, poi vediamo. È la prima cosa che faccio quando credo una rete e evita conflitti futuri.

[cencio3]

al momento ho una connessione openVPN, come dicevo, in bridge, che gira su due macchine windows. Ricordo che fu piuttosto complicata da realizzare, ma funziona. L'ho fatto perche' mi serviva accedere alle risorse delle due LAN da entrambi i lati, per un istanza di OpenHab e gestire la domotica casa/ufficio. In piu' anche da telefono (roadwarrior). Adesso vorrei spegnere le due macchine Win e passare a due raspberry, per affidabilità e anche risparmio energetico. Ho gia' migrato sul raspberry di casa con l'ultima versione di OH, sul quale avevo installato wireguardian per provare ad ottenere la stessa cosa di Openvpn, assieme all'altro raspberry in ufficio. Le due LAN che utilizzano adesso OpenVPN, hanno la stessa subnet 192.168.1.0/24 e gateway diversi ...non ho sottoreti e tutto funziona alla perfezione da anni. Visto che wireguard e' molto piu' semplice speravo di ottenere lo stesso risultato

[thece]

Adesso vorrei spegnere le due macchine Win e passare a due raspberry ...

Scusa, ma visto che sei soddisfatto dell'attuale configurazione di OpenVPN in modalità bridged sui due PC Windows cosa ti impedisce di migrare la stessa configurazione su due Raspberry Pi?

[cencio3]

[/quote]
Scusa, ma visto che sei soddisfatto dell'attuale configurazione di OpenVPN in modalità bridged sui due PC Windows cosa ti impedisce di migrare la stessa configurazione su due Raspberry Pi?
[/quote]

mi confermi che posso usare le stesse chiavi e relative impostazioni? anche se la versione installata sara' sicuramente una release superiore (la mia e' un po' vecchiotta)

[thece]

mi confermi che posso usare le stesse chiavi e relative impostazioni?

No questo non te lo so confermare.
Immagino che le configurazioni possando anche andare bene, ma per le chiavi direi che al 99% debbano essere rigenerate ex-novo.