Wireguard и локальная сеть

[alexcoder]

Здравствуйте. Подскажите, может кто сталкивался. Есть свой VPS на Ubuntu с установленным Wireguard. И есть клиенты на Windows 10. В клиентах прописаны исключения для доступа к локальной сети: AllowedIPs = 128.0.0.0/2, 224.0.0.0/3, 208.0.0.0/4, 200.0.0.0/5, 196.0.0.0/6, 194.0.0.0/7, 193.0.0.0/8, 192.0.0.0/9, 192.192.0.0/10, 192.128.0.0/11, 192.176.0.0/12, 192.160.0.0/13, 192.172.0.0/14, 192.170.0.0/15, 192.169.0.0/16, 0.0.0.0/1, ::/1, 8000::/1
Проблема в следующем. Когда два клиента находятся в одной локальной сети, в диапазоне 192.168.100.х и на обоих включено подключение VPN, трафик между ними гоняется через VPN через Польшу (VPS находится в Польше). Если хотя бы одно подключение отключить, трафик, как и нужно, идет по локалке. Что нужно сделать чтобы при включенных соединениях на обоих машинах трафик шел через локальную сеть? Пробовал играться с метриками таким способом: https://iruwen.medium.com/changing-wireguard-interface-metric-b1b1bca47d Также пробовал в свойствах локальной сети ставить метрику 1, пробовал отключать IPv6 в свойствах соединения Windows. Не помогает. Как ходил трафик через VPN, так и ходит. Проблема происходит при передаче файлов (общий доступ). Удаленный доступ (RDP), по ощущениям, работает через локальную сеть, лагов нет, как если подключаться через другого провайдера через VPN. ping тоже идет через локальную сеть менее 1 мсек, а вот файлы по общему доступу гоняются через VPN.

 

[Паук]

а вот файлы по общему доступу гоняются через VPN

Як саме здійснюється доступ до шар? По іпу чи по імені? Якщо по іпу, проблем не повинно бути (\\192.168.100.* ітп). А от якщо по імені (\\desktop1 ітп) - то вінда може віддавати внутнішній іпак вайргарда, і тоді траф дійсно піде дєбрями. Це перше.
Друге - якшо обидва компи в одному і тому ж сегменті локалки (для прикладу перший 192.168.100.110 і другий 192.168.100.175 з маскою 255.255.255.0) - то в них обох є маршрути для локалки (по типу 192.168.100.0 255.255.255.0 On-link 192.168.0.110) - і траф всередині локалки буде йти через локалку, а не впн.
Ну і третє - треба дивитися маршрути (route print), пінгувати-трасувати як по імені, так і по іпу, з обох компів один одного, і дивитися шо воно і як. Вінда паскудно працює з декількома інтерфейсами, плюс роутери по dhcp можуть перебивати шлюши/метрики, плюс це ж можуть і впни робити, і буде вилазити всяка фігня (по типу вхідний пакєтік прийшов через один інтерфейс, а відповідь на нього пішла через інший, і ти сидиш, ковиряєш ping/traceroute/tcpdump всюди де можна, намагаючись зрозуміти wtf і як з цим боротися)

 

[alexcoder]

Як саме здійснюється доступ до шар?
по ip: \\192.168.100.200\d

Спойлер: route print 1

===========================================================================
Список интерфейсов
2...98 28 a6 33 31 9a ......Realtek PCIe GbE Family Controller
17...0a 00 27 00 00 11 ......VirtualBox Host-Only Ethernet Adapter
23...0c 37 96 3f d5 94 ......Realtek USB GbE Family Controller
6...50 76 af 10 6c 5b ......Intel(R) Wireless-AC 9560 160MHz
14...50 76 af 10 6c 5c ......Microsoft Wi-Fi Direct Virtual Adapter
19...52 76 af 10 6c 5b ......Microsoft Wi-Fi Direct Virtual Adapter #2
28...00 ff be fe 88 82 ......TAP-Windows Adapter V9
8...50 76 af 10 6c 5f ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
15...........................WireGuard Tunnel
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.1 192.168.100.139 25
0.0.0.0 128.0.0.0 On-link 10.16.84.2 5000
10.16.84.0 255.255.255.0 On-link 10.16.84.2 5256
10.16.84.2 255.255.255.255 On-link 10.16.84.2 5256
10.16.84.255 255.255.255.255 On-link 10.16.84.2 5256
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
128.0.0.0 192.0.0.0 On-link 10.16.84.2 5000
191.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.0.0.0 255.128.0.0 On-link 10.16.84.2 5000
192.127.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.128.0.0 255.224.0.0 On-link 10.16.84.2 5000
192.159.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.160.0.0 255.248.0.0 On-link 10.16.84.2 5000
192.167.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
192.168.100.0 255.255.255.0 On-link 192.168.100.139 281
192.168.100.139 255.255.255.255 On-link 192.168.100.139 281
192.168.100.255 255.255.255.255 On-link 192.168.100.139 281
192.169.0.0 255.255.0.0 On-link 10.16.84.2 5000
192.169.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.170.0.0 255.254.0.0 On-link 10.16.84.2 5000
192.171.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.172.0.0 255.252.0.0 On-link 10.16.84.2 5000
192.175.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.176.0.0 255.240.0.0 On-link 10.16.84.2 5000
192.191.255.255 255.255.255.255 On-link 10.16.84.2 5256
192.192.0.0 255.192.0.0 On-link 10.16.84.2 5000
192.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
193.0.0.0 255.0.0.0 On-link 10.16.84.2 5000
193.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
194.0.0.0 254.0.0.0 On-link 10.16.84.2 5000
195.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
196.0.0.0 252.0.0.0 On-link 10.16.84.2 5000
199.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
200.0.0.0 248.0.0.0 On-link 10.16.84.2 5000
207.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
208.0.0.0 240.0.0.0 On-link 10.16.84.2 5000
223.255.255.255 255.255.255.255 On-link 10.16.84.2 5256
224.0.0.0 224.0.0.0 On-link 10.16.84.2 5000
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 192.168.100.139 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 192.168.100.139 281
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
15 5000 ::/1 On-link
1 331 ::1/128 On-link
15 5000 8000::/1 On-link
15 5256 fd11:5ee:bad:c0de::/64 On-link
15 5256 fd11:5ee:bad:c0de::2/128 On-link
17 281 fe80::/64 On-link
23 281 fe80::/64 On-link
23 281 fe80::d38b:acb2:7426:4089/128
On-link
17 281 fe80::da7a:8175:4822:84ea/128
On-link
1 331 ff00::/8 On-link
17 281 ff00::/8 On-link
23 281 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Спойлер: route print 2

===========================================================================
Список интерфейсов
39...........................WireGuard Tunnel
16...38 f7 cd c5 7d 3e ......Realtek PCIe GbE Family Controller
11...0a 00 27 00 00 0b ......VirtualBox Host-Only Ethernet Adapter
5...14 f5 f9 58 91 50 ......Microsoft Wi-Fi Direct Virtual Adapter
15...96 f5 f9 58 91 50 ......Microsoft Wi-Fi Direct Virtual Adapter #2
17...14 f5 f9 58 91 50 ......Realtek 8821CE Wireless LAN 802.11ac PCI-E NIC
20...14 f5 f9 59 54 a0 ......Bluetooth Device (Personal Area Network)
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.1 192.168.100.200 26
0.0.0.0 128.0.0.0 On-link 10.16.84.14 5
10.16.84.0 255.255.255.0 On-link 10.16.84.14 261
10.16.84.14 255.255.255.255 On-link 10.16.84.14 261
10.16.84.255 255.255.255.255 On-link 10.16.84.14 261
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 10.16.84.14 261
128.0.0.0 192.0.0.0 On-link 10.16.84.14 5
191.255.255.255 255.255.255.255 On-link 10.16.84.14 261
192.0.0.0 255.128.0.0 On-link 10.16.84.14 5
192.127.255.255 255.255.255.255 On-link 10.16.84.14 261
192.128.0.0 255.224.0.0 On-link 10.16.84.14 5
192.159.255.255 255.255.255.255 On-link 10.16.84.14 261
192.160.0.0 255.248.0.0 On-link 10.16.84.14 5
192.167.255.255 255.255.255.255 On-link 10.16.84.14 261
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
192.168.100.0 255.255.255.0 On-link 192.168.100.200 281
192.168.100.200 255.255.255.255 On-link 192.168.100.200 281
192.168.100.255 255.255.255.255 On-link 192.168.100.200 281
192.169.0.0 255.255.0.0 On-link 10.16.84.14 5
192.169.255.255 255.255.255.255 On-link 10.16.84.14 261
192.170.0.0 255.254.0.0 On-link 10.16.84.14 5
192.171.255.255 255.255.255.255 On-link 10.16.84.14 261
192.172.0.0 255.252.0.0 On-link 10.16.84.14 5
192.175.255.255 255.255.255.255 On-link 10.16.84.14 261
192.176.0.0 255.240.0.0 On-link 10.16.84.14 5
192.191.255.255 255.255.255.255 On-link 10.16.84.14 261
192.192.0.0 255.192.0.0 On-link 10.16.84.14 5
192.255.255.255 255.255.255.255 On-link 10.16.84.14 261
193.0.0.0 255.0.0.0 On-link 10.16.84.14 5
193.255.255.255 255.255.255.255 On-link 10.16.84.14 261
194.0.0.0 254.0.0.0 On-link 10.16.84.14 5
195.255.255.255 255.255.255.255 On-link 10.16.84.14 261
196.0.0.0 252.0.0.0 On-link 10.16.84.14 5
199.255.255.255 255.255.255.255 On-link 10.16.84.14 261
200.0.0.0 248.0.0.0 On-link 10.16.84.14 5
207.255.255.255 255.255.255.255 On-link 10.16.84.14 261
208.0.0.0 240.0.0.0 On-link 10.16.84.14 5
223.255.255.255 255.255.255.255 On-link 10.16.84.14 261
224.0.0.0 224.0.0.0 On-link 10.16.84.14 5
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 192.168.100.200 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 192.168.100.200 281
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
39 5 ::/1 On-link
1 331 ::1/128 On-link
39 5 8000::/1 On-link
39 261 fd11:5ee:bad:c0de::/64 On-link
39 261 fd11:5ee:bad:c0de::14/128
On-link
11 281 fe80::/64 On-link
16 281 fe80::/64 On-link
11 281 fe80::9ff4:893f:24f1:99e3/128
On-link
16 281 fe80::d1ed:8180:40e2:2c5a/128
On-link
1 331 ff00::/8 On-link
11 281 ff00::/8 On-link
16 281 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

Если на втором компе поменять метрику с 5 на 5000 по методу по ссылке, ничего не меняется, так через VPN и бродит
Друге - якшо обидва компи в одному і тому ж сегменті локалки (для прикладу перший 192.168.100.110 і другий 192.168.100.175 з маскою 255.255.255.0) - то в них обох є маршрути для локалки (по типу 192.168.100.0 255.255.255.0 On-link 192.168.0.110) - і траф всередині локалки буде йти через локалку, а не впн.

Есть такие маршруты, но трафик с шары все равно топает через Польшу. Из-за больших пингов и из-за того что он дважды через внешку бродит работает очень медленно. А когда хоть одно из соединений отключаешь, все летает на гигабитной скорости как положено. Но похоже что только с шар, ping точно идет по локалке, и RDP похоже тоже, лаги отсутствуют. Когда подключаюсь по RDP по интерфейсу через VPN не из дома, заметны лаги. Tracert показывает что идет по локалке.

 

[Паук]

Дуже дивно. На рівні IP все чисто, tcp та icmp таке як теж. udp ніхто не може в вайр завертати?

 

[alexcoder]

Дуже дивно. На рівні IP все чисто, tcp та icmp таке як теж. udp ніхто не може в вайр завертати?

Даже не знаю что это может быть. Возникла идея заблокировать udp порты 137 и 138 на интерфейсе wireguard, но это только для проверки что udp трафик утекает в туннель. Постоянно блокировать нельзя, иногда нужно подключаться к диску не из дома через vpn.

 

[alexcoder]

Добавил вот такое правило для входящих и исходящих подключений, не помогло. Может я что-то не так делаю?

 

[iridiumcat]

Можно попробовать отключить в свойствах wireguard интерфейса NetBios, чтобы там не работали шары.

 

[Паук]

Кстаті да

 

[alexcoder]

Если имеется ввиду убрать эту галку, то эффекта нет, а после переподключения vpn она опять на месте, похоже на то что клиент wireguard пересоздает туннель заново при каждом подключении, поэтому и метрики интерфейса не сохраняются и нужно запускать отдельный скрипт чтобы их поменять после подключения.

 

[Maxxx]

Стикався з гємором, якщо у клієнта і цільової мережі, куди підключається VPN, однакові діапазони, наприклад 192.168.1.0/24, не той випадок?

 

[alexcoder]

Стикався з гємором, якщо у клієнта і цільової мережі, куди підключається VPN, однакові діапазони, наприклад 192.168.1.0/24, не той випадок?

Нет. На vpn адреса 10.16.84.х, локалка 192.168.100.х

 

[iridiumcat]

Просто было время на досуге, решил потестить.
Что на компах с десяткой не вышло отловить данную проблему, когда локальный ip 192.168.1.xxx ходит через wireguard, если он добавлен в исключение, что на виртуалке - тоже не увидел проблем.
Также у меня в конфиге разрешения выглядят так

AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Смысл исключать локальные адреса по отдельности?

 

[alexcoder]

Просто было время на досуге, решил потестить.
Что на компах с десяткой не вышло отловить данную проблему, когда локальный ip 192.168.1.xxx ходит через wireguard, если он добавлен в исключение, что на виртуалке - тоже не увидел проблем.
Также у меня в конфиге разрешения выглядят так

AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Смысл исключать локальные адреса по отдельности?

Не совсем понял это: "Что на компах с десяткой не вышло отловить данную проблему, когда локальный ip 192.168.1.xxx ходит через wireguard, если он добавлен в исключение, что на виртуалке - тоже не увидел проблем." Все нормально или возникают проблемы?

Смысл исключать локальные адреса по отдельности?
Я вычислял эту строку в онлайн калькуляторе для диапазона 192.168.х.х, такую строку мне выдал калькулятор. Одно время блокировало доступ к интерфейсу роутеров, как решение была ссылка на калькулятор. Сейчас проверил AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1 Работает так же, это потестю, но главная проблема так и не исчезла, так и ходит к шарам через VPN даже в локалке.

 

[iridiumcat]

Я имел ввиду, что на двух компах в локалке, с запущенным wireguard локальные ip ходят на пряму, минуя туннель.
Попробуй на vps забанить порты 139 и 445

ufw deny 139,445

Интересно что будет?

 

[alexcoder]

Интересно что будет?
Будет выход груды кирпичей. firewall был выключен, пришлось его включить, пока не переподключился к wg эффекта не было, а после отключения подключиться к серверу я уже не смог никак ни wg ни даже по ssh. Сейчас восстанавливается из админ панели из бэкапа.

 

[iridiumcat]

Я так тоже когда-то попался. Но там, помнится, у меня был доступ через биллинг к vnc.
Как восстановишь, то попробуй еще раз, только надо будет сначала

ufw allow ssh

 

[alexcoder]

После такого и wireguard не подключается. Даже если будет работать ssh, то wireguard все равно работать не будет.

 

[iridiumcat]

ну так надо порт на котором сидит wireguard тоже в файрфолле разрешить