Impostare route statica per VPN Wireguard con 3 router

Aarker · 6 giu 2024

Ciao,
ho la seguente situazione:
Router Fritzbox rete 192.168.178.0/24, FTTH a casa mia
Zyxel DX5401 rete 192.168.1.0/24, FTTC a casa di mia sorella
Keenetic, rete 10.0.0.0/24, in cascata allo Zyxel (via WiFi per il momento ma penso che non cambi niente). Sul Keenetic c'è infatti la possibilità di ottenere la connessione internet da un "Wireless ISP".

Ho impostato una route statica e ora posso accedere da rete Keenetic ai dispositivi della rete Zyxel.
(sul Keenetic, route a rete 192.168.1.0/24 gateway 192.168.1.1)

Avevo già impostato tempo fa una vpn Wireguard site-to-site tra Fritzbox e Keenetic, così da poter accedere da rete Fritz ai dispositivi sotto Keenetic. Adesso mi piacerebbe (più per imparare che per necessità) poter accedere, sempre da rete Fritz via Wireguard, anche ai dispositivi Zyxel.

Oltre alla route statica sopra menzionata, pensavo fosse sufficiente aggiungere la rete dello Zyxel 192.168.1.0/24 alla riga allowed ip del file di configurazione wg del fritz, che aadesso quindi è AllowedIPs = 10.0.0.0/24,192.168.1.0/24 . Ma non funziona.

Ho provato a impostare sul Fritz una route statica 192.168.1.0 gateway 192.168.178.1, ma mi dice route non ammessa.

Ho poi notato, tra l'altro forse anche prima che mettessi 192.168.1.0/24 tra gli allowed ip, che da rete fritz posso accedere a 192.168.1.176, che è l'ip locale assegnato al Keenetic su rete Zyxel. In realtà da browser con questo indirizzo non riesco ad accedere al centro di controllo del Keenetic, ricevo un "403 Forbidden Web server" (perchè, e sempre per curiosità, come si risolve?), ma comunque ricevo una risposta. Mentre se provo ad accedere alla pagina dello Zyxel 192.168.1.1, o altri dispositivi su rete 192.168.1.0 non c'è proprio l'instradamento. Come mai?

Sicuramente sbaglio qualcosa... ma che cosa?
Vi ringrazio anticipatamente per l'aiuto!

Ddocumibozu · 6 giu 2024

Le route le devi impostare dentro wireguard ed è semplicissimo (sezione allowedip xxx.xxx.xxx.0/24). Io con 4 router openwrt ed un Asus ho connessi casa, ufficio, casa di mia madre, casa di mia suocera e casa al mare in site to multisite.
Il problema e' che Fritz ti modifica le router come vuole lui, e' già un miracolo che tu abbia fatto una site to site col keenetic (a proposito come hai fatto?).

Aarker · 6 giu 2024

documibozu e' già un miracolo che tu abbia fatto una site to site col keenetic (a proposito come hai fatto?).

Addirittura?
Ho seguito le guide di entrambi i router, semplicissima quella del Fritz (link e link2) un po' meno quella del Keenetic. Ci ho smanettato un po' perché era la prima volta ma non mi è sembrato particolarmente complicato. Mi sono semplificato la vita creando la connessione wg sul Fritz come da sua guida e importando il file config che viene creato automaticamente, perché al momento il Keenetic non ha una funzione simile.

Altra cosa da tenere a mente è che durante la configurazione wg sul Fritz devi inserire come rete di destinazione non quella dell'interfaccia wireguard, di cui si parla invece nella guida del Keenetic, ma l'effettiva rete di quest'ultimo (nel mio caso 10.0.0.0/24). Poi quando vai a importare il file di configurazione sul Keenetic ti darà errore nel campo indirizzo perché in questo campo lui vuole l'indirizzo dell'interfaccia wg (di cui al Fritz frega niente) e non la rete di destinazione. Basta metterne una a caso . Io ho messo 10.0.10.0/24.
Modifichi eventualmente da Keenetic l'endpoint del Fritz mettendo quello del servizio ddns, poi imposti firewall e routing come da guida Keenetic, fine

documibozu Le route le devi impostare dentro wireguard ed è semplicissimo (sezione allowedip xxx.xxx.xxx.0/24). Io con 4 router openwrt ed un Asus ho connessi casa, ufficio, casa di mia madre, casa di mia suocera e casa al mare in site to multisite.

Sì ho modificato sul fritz la configurazione wireguard, prima era solo AllowedIPs = 10.0.0.0/24 , ci ho aggiunto 192.168.1.0/24 , ma sembra non essere sufficiente. Forse devo disabilitare il nat sul Keenetic? Farò anche questa prova.
Ogni suggerimento è ben accetto!

arker In realtà da browser con questo indirizzo non riesco ad accedere al centro di controllo del Keenetic, ricevo un "403 Forbidden Web server" (perchè, e sempre per curiosità, come si risolve?), ma comunque ricevo una risposta

Sono riuscito a risolvere questo impostando su Keenetic, in "Accesso gestione in entrata", la voce "Connessioni remote interfaccia web" da HTTPS a HTTP e HTTPS. Così, e solo con 192.168.1.0/24 in Allowed IP, riesco ad accedere al Keenetic tramite indirizzo 192.168.1.176, quindi a un indirizzo della rete 192.168.1.0. Peccato che funzioni solo con questo indirizzo e con nessun'altro...

Ddocumibozu · 6 giu 2024

arker

Ecco appunto, anche te stai andando a sbattere contro il problema di fondo dei fritz, ossia che non ti fanno accedere alle sottoreti. Io a suo tempo ci bestemmiai per due giorni con quello che avevano dato in comodato a mia madre. Poi le ho messo un routerino openwrt da 3 lire in cascata ed ha funzionato alla prima.
Cmq ti posto la configurazione mia del server (che è su sottorete 192.168.12.0/24):

config interface 'WG_Spli'
option proto 'wireguard'
option listen_port '51821'
list addresses '10.5.0.1/32'
option private_key XXXXX

config wireguard_WG_Spli
option public_key xxxxxx
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '10.5.0.3/32'
list allowed_ips '192.168.1.0/24'

config wireguard_WG_Spli
option public_key xxxxxx
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '10.5.0.4/32'
list allowed_ips '192.168.13.0/24'

config wireguard_WG_Spli
option public_key xxxxxx
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.16.0/24'
list allowed_ips '10.5.0.5/32'

e di un client (quello nella sottorete 192.168.1.0/24):

config interface 'WG3'
option proto 'wireguard'
option private_key xxxxxx
list addresses '10.5.0.3/32'
option delegate '0'
list dns '10.5.0.1'

config wireguard_WG3
option description 'openwrtserver'
option public_key xxxxx
option route_allowed_ips '1'
option endpoint_host 'xxx.com'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.12.0/24'
list allowed_ips '10.5.0.0/24'
list allowed_ips '192.168.13.0/24'
list allowed_ips '192.168.14.0/24'
list allowed_ips '192.168.16.0/24'

Nel server non vedi dichiarato il peer nella sottorete 192.168.14.0/24 perchè devo riconfigurarlo a seguito del cambio di chiavi.
Hai verso di estrarre la configurazione dal Keenetic così te la controllo e ti dico eventualmente dove mettere le mani ? Elimina ovviamente le chiavi....

Aarker · 7 giu 2024

Ciao!
ecco il file config del Keenetic, ti ringrazio nel frattempo

Premi per mostrare Premi per nascondere

! $$$ Model: Keenetic Titan
! $$$ Version: 2.06.1

system
set net.ipv4.ip_forward 1
set net.ipv4.tcp_fin_timeout 30
set net.ipv4.tcp_keepalive_time 120
set net.ipv4.neigh.default.gc_thresh1 256
set net.ipv4.neigh.default.gc_thresh2 1024
set net.ipv4.neigh.default.gc_thresh3 2048
set net.ipv6.neigh.default.gc_thresh1 256
set net.ipv6.neigh.default.gc_thresh2 1024
set net.ipv6.neigh.default.gc_thresh3 2048
set net.netfilter.nf_conntrack_tcp_timeout_established 1200
set net.netfilter.nf_conntrack_max 16384
set vm.swappiness 60
set vm.overcommit_memory 0
set vm.vfs_cache_pressure 1000
set dev.usb.force_usb2 0
set net.ipv6.conf.all.forwarding 1
clock timezone Europe/Rome
domainname WORKGROUP
hostname Keenetic
caption default
zram
!
access-list _WEBADMIN_Wireguard0
permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
auto-delete
!
isolate-private
user
password md5
password nt
tag cli
tag http
tag cifs
tag printers
tag webdav
!
dyndns profile _WEBADMIN
type custom
no send-address
url
!
interface GigabitEthernet0
up
!
interface GigabitEthernet0/0
rename 1
switchport mode access
switchport access vlan 1
up
!
interface GigabitEthernet0/1
rename 2
switchport mode access
switchport mode trunk
switchport access vlan 1
switchport trunk vlan 3
up
!
interface GigabitEthernet0/2
rename 3
switchport mode access
switchport mode trunk
switchport access vlan 1
switchport trunk vlan 3
up
!
interface GigabitEthernet0/3
rename 4
switchport mode access
switchport mode trunk
switchport access vlan 1
switchport trunk vlan 3
up
!
interface GigabitEthernet0/Vlan1
description "Home VLAN"
security-level private
ip dhcp client dns-routes
up
!
interface GigabitEthernet0/Vlan3
description "Guest VLAN"
security-level protected
ip dhcp client dns-routes
up
!
interface GigabitEthernet1
rename ISP
description "ISP Ethernet"
mac address factory wan
security-level private
ip dhcp client dns-routes
ipv6 name-servers
up
!
interface GigabitEthernet1/0
rename 0
up
!
interface WifiMaster0
country-code IT
compatibility BGN
tx-burst
rekey-interval 86400
beamforming explicit
vht
up
!
interface WifiMaster0/AccessPoint0
rename AccessPoint
description "Wi-Fi access point"
mac access-list type none
security-level private
wps
wps no auto-self-pin
authentication wpa-psk ns3
encryption enable
encryption wpa2
ip dhcp client dns-routes
ssid Keenetic
wmm
rrm
ft mdid VY
ft enable
up
!
interface WifiMaster0/AccessPoint1
rename GuestWiFi
description "Guest access point"
mac access-list type none
security-level private
ip dhcp client dns-routes
ssid Guest
wmm
rrm
ft mdid 1Y
ft enable
down
!
interface WifiMaster0/AccessPoint2
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster0/AccessPoint3
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster0/AccessPoint4
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster0/AccessPoint5
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster0/AccessPoint6
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster0/WifiStation0
description "Wind3 HUB"
dyndns profile _WEBADMIN
security-level public
authentication wpa-psk ns3
encryption enable
encryption wpa3
ip address dhcp
ip dhcp client hostname Keenetic
ip dhcp client dns-routes
ip global 57342
ip name-servers
igmp upstream
ipv6 no name-servers
ssid "Wind3 HUB"
down
!
interface WifiMaster1
country-code IT
compatibility AN+AC
tx-burst
rekey-interval 86400
beamforming explicit
downlink-mumimo
up
!
interface WifiMaster1/AccessPoint0
rename AccessPoint_5G
description "5GHz Wi-Fi access point"
mac access-list type none
security-level private
wps
wps no auto-self-pin
authentication wpa-psk ns3
encryption enable
encryption wpa2
ip dhcp client dns-routes
ssid Keenetic
wmm
rrm
ft mdid VY
ft enable
follow AccessPoint
down
!
interface WifiMaster1/AccessPoint1
rename GuestWiFi_5G
description "5GHz Guest access point"
mac access-list type none
security-level private
encryption disable
ip dhcp client dns-routes
ssid Guest
rrm
ft mdid 1Y
ft enable
follow GuestWiFi
down
!
interface WifiMaster1/AccessPoint2
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster1/AccessPoint3
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster1/AccessPoint4
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster1/AccessPoint5
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster1/AccessPoint6
mac access-list type none
security-level private
ip dhcp client dns-routes
down
!
interface WifiMaster1/WifiStation0
description "Wind3 HUB"
dyndns profile _WEBADMIN
security-level public
authentication wpa-psk ns3
encryption enable
encryption wpa3
ip address dhcp
ip dhcp client hostname Keenetic
ip dhcp client dns-routes
ip global 61438
ip name-servers
ipv6 no name-servers
ssid "Wind3 HUB"
up
!
interface Bridge0
rename Home
description "Home network"
inherit GigabitEthernet0/Vlan1
include AccessPoint
include AccessPoint_5G
include ISP
mac access-list type none
security-level private
ip address 10.0.0.1 255.255.255.0
ip dhcp client dns-routes
band-steering
iapp key ns3
up
!
interface Bridge1
rename Guest
description "Guest network"
traffic-shape rate 5120
inherit GigabitEthernet0/Vlan3
include GuestWiFi
include GuestWiFi_5G
mac access-list type none
peer-isolation
security-level protected
ip address 10.1.30.1 255.255.255.0
ip dhcp client dns-routes
iapp key ns3
down
!
interface Wireguard0
description wg_config
security-level public
ip address 10.0.20.1 255.255.255.0
ip access-group _WEBADMIN_Wireguard0 in
ip tcp adjust-mss pmtu
wireguard peer Fritz
endpoint ****:54737
keepalive-interval 25
preshared-key
allow-ips 192.168.178.0 255.255.255.0
connect
!
up
!
ip route 192.168.1.0 255.255.255.0 192.168.1.1 auto !prova1
ip route 192.168.178.0 255.255.255.0 Wireguard0 auto !prova2
ip dhcp pool _WEBADMIN
range 10.0.0.33 10.0.0.152
lease 25200
bind Home
enable
!
ip dhcp pool _WEBADMIN_GUEST_AP
range 10.1.30.33 10.1.30.152
bind Guest
enable
!
ip name-server 192.168.1.1 "" on WifiMaster1/WifiStation0
ip name-server 192.168.1.1 "" on WifiMaster0/WifiStation0
ip name-server 192.168.178.1 "" on Wireguard0
ip http port 80
ip http security-level public ssl
ip http lockout-policy 5 15 3
ip http ssl enable
ip http ssl redirect
ip http webdav
security-level public
!
ip nat Guest
ip telnet
port 23
security-level private
lockout-policy 5 15 3
!
ipv6 subnet Default
bind Home
mode slaac
prefix length 64
number 0
!
ipv6 local-prefix default
ppe software
ppe hardware
upnp lan Home
service dhcp
service dns-proxy
service http
service telnet
service ntp
service upnp
cifs
automount
permissive
!
dns-proxy
rebind-protect auto
!
mdns
reflector enforce
!
easyconfig disable
components
auto-update channel stable
!
cloud control2 security-level public
!

Anche oggi ho fatto diversi tentativi ma niente...
Facendo tracert da rete Fritz:

Premi per mostrare Premi per nascondere

Traccia instradamento verso 192.168.1.176 su un massimo di 30 punti di passaggio

1 3 ms 3 ms 3 ms 192.168.178.1
2 19 ms 17 ms 16 ms 192.168.1.176

Traccia completata.

Traccia instradamento verso 192.168.1.1 su un massimo di 30 punti di passaggio

1 2 ms 3 ms 6 ms 192.168.178.1
2 * * * Richiesta scaduta.
3 * * * Richiesta scaduta.
4 * * * Richiesta scaduta.
5 * * * Richiesta scaduta.
6 * * * Richiesta scaduta.
7 * * * Richiesta scaduta.

sembra che la richiesta a 192.168.1.176 passi per il Fritz (192.168.178.1) e poi arrivi subito a destinazione, mentre la stessa richiesta verso lo Zyxel non vada a buon fine. Forse bisogna forzare sulle route statiche del Fritz direttamente dal suo file di configurazione?
Oppure una route statica sullo Zyxel ? Per accettare connessioni da 192.168.178.0 verso la sua rete? Tipo rete 192.168.178.0/24 gateway 192.168.1.176 ( indirizzo del keenetic sotto rete Zyxel)?

Aarker · 10 giu 2024

Ci sono riuscito... come immaginavo c'era qualcosa da sistemare sullo Zyxel, e in effetti è bastato aggiungere una route statica:
Indirizzo di destinazione: 192.168.178.1 /24 (la rete Fritz)
Gateway: 192.178.1.x (l'indirizzo del Keenetic sulla rete locale dello Zyxel)

Tracert da rete Fritz a rete Zyxel dice:
Traccia instradamento verso 192.168.1.1 su un massimo di 30 punti di passaggio
1 3 ms 4 ms 3 ms 192.168.178.1
2 * * * Richiesta scaduta.
3 20 ms 34 ms 19 ms 192.168.1.1

Traccia completata.

C'è quindi un "salto", forse colpa del Keenetic? Manca una route statica pure su questo? Però nel complesso sembra funzionare...