WireGuard і локальна мережа

alexcoder · 05.01.24

Здравствуйте. Подскажите, может кто сталкивался. Есть свой VPS на Ubuntu с установленным Wireguard. И есть клиенты на Windows 10. В клиентах прописаны исключения для доступа к локальной сети: AllowedIPs = 128.0.0.0/2, 224.0.0.0/3, 208.0.0.0/4, 200.0.0.0/5, 196.0.0.0/6, 194.0.0.0/7, 193.0.0.0/8, 192.0.0.0/9, 192.192.0.0/10, 192.128.0.0/11, 192.176.0.0/12, 192.160.0.0/13, 192.172.0.0/14, 192.170.0.0/15, 192.169.0.0/16, 0.0.0.0/1, ::/1, 8000::/1
Проблема в следующем. Когда два клиента находятся в одной локальной сети, в диапазоне 192.168.100.х и на обоих включено подключение VPN, трафик между ними гоняется через VPN через Польшу (VPS находится в Польше). Если хотя бы одно подключение отключить, трафик, как и нужно, идет по локалке. Что нужно сделать чтобы при включенных соединениях на обоих машинах трафик шел через локальную сеть? Пробовал играться с метриками таким способом: https://iruwen.medium.com/changing-wireguard-interface-metric-b1b1bca47d Также пробовал в свойствах локальной сети ставить метрику 1, пробовал отключать IPv6 в свойствах соединения Windows. Не помогает. Как ходил трафик через VPN, так и ходит. Проблема происходит при передаче файлов (общий доступ). Удаленный доступ (RDP), по ощущениям, работает через локальную сеть, лагов нет, как если подключаться через другого провайдера через VPN. ping тоже идет через локальную сеть менее 1 мсек, а вот файлы по общему доступу гоняются через VPN.

Паук · 05.01.24

alexcoder сказав(ла):
а вот файлы по общему доступу гоняются через VPN

Як саме здійснюється доступ до шар? По іпу чи по імені? Якщо по іпу, проблем не повинно бути (\\192.168.100.* ітп). А от якщо по імені (\\desktop1 ітп) - то вінда може віддавати внутнішній іпак вайргарда, і тоді траф дійсно піде дєбрями. Це перше.
Друге - якшо обидва компи в одному і тому ж сегменті локалки (для прикладу перший 192.168.100.110 і другий 192.168.100.175 з маскою 255.255.255.0) - то в них обох є маршрути для локалки (по типу 192.168.100.0 255.255.255.0 On-link 192.168.0.110) - і траф всередині локалки буде йти через локалку, а не впн.
Ну і третє - треба дивитися маршрути (route print), пінгувати-трасувати як по імені, так і по іпу, з обох компів один одного, і дивитися шо воно і як. Вінда паскудно працює з декількома інтерфейсами, плюс роутери по dhcp можуть перебивати шлюши/метрики, плюс це ж можуть і впни робити, і буде вилазити всяка фігня (по типу вхідний пакєтік прийшов через один інтерфейс, а відповідь на нього пішла через інший, і ти сидиш, ковиряєш ping/traceroute/tcpdump всюди де можна, намагаючись зрозуміти wtf і як з цим боротися)

alexcoder · 05.01.24

Як саме здійснюється доступ до шар?
по ip: \\192.168.100.200\d

Код:

===========================================================================
Список интерфейсов
  2...98 28 a6 33 31 9a ......Realtek PCIe GbE Family Controller
17...0a 00 27 00 00 11 ......VirtualBox Host-Only Ethernet Adapter
23...0c 37 96 3f d5 94 ......Realtek USB GbE Family Controller
  6...50 76 af 10 6c 5b ......Intel(R) Wireless-AC 9560 160MHz
14...50 76 af 10 6c 5c ......Microsoft Wi-Fi Direct Virtual Adapter
19...52 76 af 10 6c 5b ......Microsoft Wi-Fi Direct Virtual Adapter #2
28...00 ff be fe 88 82 ......TAP-Windows Adapter V9
  8...50 76 af 10 6c 5f ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
15...........................WireGuard Tunnel
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.139     25
          0.0.0.0        128.0.0.0         On-link        10.16.84.2   5000
       10.16.84.0    255.255.255.0         On-link        10.16.84.2   5256
       10.16.84.2  255.255.255.255         On-link        10.16.84.2   5256
     10.16.84.255  255.255.255.255         On-link        10.16.84.2   5256
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        128.0.0.0        192.0.0.0         On-link        10.16.84.2   5000
  191.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        192.0.0.0      255.128.0.0         On-link        10.16.84.2   5000
  192.127.255.255  255.255.255.255         On-link        10.16.84.2   5256
      192.128.0.0      255.224.0.0         On-link        10.16.84.2   5000
  192.159.255.255  255.255.255.255         On-link        10.16.84.2   5256
      192.160.0.0      255.248.0.0         On-link        10.16.84.2   5000
  192.167.255.255  255.255.255.255         On-link        10.16.84.2   5256
     192.168.56.0    255.255.255.0         On-link      192.168.56.1    281
     192.168.56.1  255.255.255.255         On-link      192.168.56.1    281
   192.168.56.255  255.255.255.255         On-link      192.168.56.1    281
    192.168.100.0    255.255.255.0         On-link   192.168.100.139    281
  192.168.100.139  255.255.255.255         On-link   192.168.100.139    281
  192.168.100.255  255.255.255.255         On-link   192.168.100.139    281
      192.169.0.0      255.255.0.0         On-link        10.16.84.2   5000
  192.169.255.255  255.255.255.255         On-link        10.16.84.2   5256
      192.170.0.0      255.254.0.0         On-link        10.16.84.2   5000
  192.171.255.255  255.255.255.255         On-link        10.16.84.2   5256
      192.172.0.0      255.252.0.0         On-link        10.16.84.2   5000
  192.175.255.255  255.255.255.255         On-link        10.16.84.2   5256
      192.176.0.0      255.240.0.0         On-link        10.16.84.2   5000
  192.191.255.255  255.255.255.255         On-link        10.16.84.2   5256
      192.192.0.0      255.192.0.0         On-link        10.16.84.2   5000
  192.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        193.0.0.0        255.0.0.0         On-link        10.16.84.2   5000
  193.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        194.0.0.0        254.0.0.0         On-link        10.16.84.2   5000
  195.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        196.0.0.0        252.0.0.0         On-link        10.16.84.2   5000
  199.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        200.0.0.0        248.0.0.0         On-link        10.16.84.2   5000
  207.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        208.0.0.0        240.0.0.0         On-link        10.16.84.2   5000
  223.255.255.255  255.255.255.255         On-link        10.16.84.2   5256
        224.0.0.0        224.0.0.0         On-link        10.16.84.2   5000
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      192.168.56.1    281
        224.0.0.0        240.0.0.0         On-link   192.168.100.139    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      192.168.56.1    281
  255.255.255.255  255.255.255.255         On-link   192.168.100.139    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
    Метрика Сетевой адрес                   Шлюз
15    5000 ::/1                            On-link
  1     331 ::1/128                         On-link
15    5000 8000::/1                        On-link
15    5256 fd11:5ee:bad:c0de::/64          On-link
15    5256 fd11:5ee:bad:c0de::2/128        On-link
17     281 fe80::/64                       On-link
23     281 fe80::/64                       On-link
23     281 fe80::d38b:acb2:7426:4089/128   On-link
17     281 fe80::da7a:8175:4822:84ea/128   On-link
  1     331 ff00::/8                        On-link
17     281 ff00::/8                        On-link
23     281 ff00::/8                        On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Код:

===========================================================================
Список интерфейсов
 39...........................WireGuard Tunnel
 16...38 f7 cd c5 7d 3e ......Realtek PCIe GbE Family Controller
 11...0a 00 27 00 00 0b ......VirtualBox Host-Only Ethernet Adapter
  5...14 f5 f9 58 91 50 ......Microsoft Wi-Fi Direct Virtual Adapter
 15...96 f5 f9 58 91 50 ......Microsoft Wi-Fi Direct Virtual Adapter #2
 17...14 f5 f9 58 91 50 ......Realtek 8821CE Wireless LAN 802.11ac PCI-E NIC
 20...14 f5 f9 59 54 a0 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.200     26
          0.0.0.0        128.0.0.0         On-link       10.16.84.14      5
       10.16.84.0    255.255.255.0         On-link       10.16.84.14    261
      10.16.84.14  255.255.255.255         On-link       10.16.84.14    261
     10.16.84.255  255.255.255.255         On-link       10.16.84.14    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        128.0.0.0        192.0.0.0         On-link       10.16.84.14      5
  191.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        192.0.0.0      255.128.0.0         On-link       10.16.84.14      5
  192.127.255.255  255.255.255.255         On-link       10.16.84.14    261
      192.128.0.0      255.224.0.0         On-link       10.16.84.14      5
  192.159.255.255  255.255.255.255         On-link       10.16.84.14    261
      192.160.0.0      255.248.0.0         On-link       10.16.84.14      5
  192.167.255.255  255.255.255.255         On-link       10.16.84.14    261
     192.168.56.0    255.255.255.0         On-link      192.168.56.1    281
     192.168.56.1  255.255.255.255         On-link      192.168.56.1    281
   192.168.56.255  255.255.255.255         On-link      192.168.56.1    281
    192.168.100.0    255.255.255.0         On-link   192.168.100.200    281
  192.168.100.200  255.255.255.255         On-link   192.168.100.200    281
  192.168.100.255  255.255.255.255         On-link   192.168.100.200    281
      192.169.0.0      255.255.0.0         On-link       10.16.84.14      5
  192.169.255.255  255.255.255.255         On-link       10.16.84.14    261
      192.170.0.0      255.254.0.0         On-link       10.16.84.14      5
  192.171.255.255  255.255.255.255         On-link       10.16.84.14    261
      192.172.0.0      255.252.0.0         On-link       10.16.84.14      5
  192.175.255.255  255.255.255.255         On-link       10.16.84.14    261
      192.176.0.0      255.240.0.0         On-link       10.16.84.14      5
  192.191.255.255  255.255.255.255         On-link       10.16.84.14    261
      192.192.0.0      255.192.0.0         On-link       10.16.84.14      5
  192.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        193.0.0.0        255.0.0.0         On-link       10.16.84.14      5
  193.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        194.0.0.0        254.0.0.0         On-link       10.16.84.14      5
  195.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        196.0.0.0        252.0.0.0         On-link       10.16.84.14      5
  199.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        200.0.0.0        248.0.0.0         On-link       10.16.84.14      5
  207.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        208.0.0.0        240.0.0.0         On-link       10.16.84.14      5
  223.255.255.255  255.255.255.255         On-link       10.16.84.14    261
        224.0.0.0        224.0.0.0         On-link       10.16.84.14      5
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      192.168.56.1    281
        224.0.0.0        240.0.0.0         On-link   192.168.100.200    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      192.168.56.1    281
  255.255.255.255  255.255.255.255         On-link   192.168.100.200    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
    Метрика Сетевой адрес                    Шлюз
 39       5 ::/1                             On-link
  1     331 ::1/128                          On-link
 39       5 8000::/1                         On-link
 39     261 fd11:5ee:bad:c0de::/64           On-link
 39     261 fd11:5ee:bad:c0de::14/128        On-link
 11     281 fe80::/64                        On-link
 16     281 fe80::/64                        On-link
 11     281 fe80::9ff4:893f:24f1:99e3/128    On-link
 16     281 fe80::d1ed:8180:40e2:2c5a/128    On-link
  1     331 ff00::/8                         On-link
 11     281 ff00::/8                         On-link
 16     281 ff00::/8                         On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Если на втором компе поменять метрику с 5 на 5000 по методу по ссылке, ничего не меняется, так через VPN и бродит
Друге - якшо обидва компи в одному і тому ж сегменті локалки (для прикладу перший 192.168.100.110 і другий 192.168.100.175 з маскою 255.255.255.0) - то в них обох є маршрути для локалки (по типу 192.168.100.0 255.255.255.0 On-link 192.168.0.110) - і траф всередині локалки буде йти через локалку, а не впн.

Есть такие маршруты, но трафик с шары все равно топает через Польшу. Из-за больших пингов и из-за того что он дважды через внешку бродит работает очень медленно. А когда хоть одно из соединений отключаешь, все летает на гигабитной скорости как положено. Но похоже что только с шар, ping точно идет по локалке, и RDP похоже тоже, лаги отсутствуют. Когда подключаюсь по RDP по интерфейсу через VPN не из дома, заметны лаги. Tracert показывает что идет по локалке.

Паук · 05.01.24

Дуже дивно. На рівні IP все чисто, tcp та icmp таке як теж. udp ніхто не може в вайр завертати?

alexcoder · 05.01.24

Паук сказав(ла):
Дуже дивно. На рівні IP все чисто, tcp та icmp таке як теж. udp ніхто не може в вайр завертати?

Даже не знаю что это может быть. Возникла идея заблокировать udp порты 137 и 138 на интерфейсе wireguard, но это только для проверки что udp трафик утекает в туннель. Постоянно блокировать нельзя, иногда нужно подключаться к диску не из дома через vpn.

alexcoder · 05.01.24

Добавил вот такое правило для входящих и исходящих подключений, не помогло. Может я что-то не так делаю?

iridiumcat · 05.01.24

Можно попробовать отключить в свойствах wireguard интерфейса NetBios, чтобы там не работали шары.

Паук · 06.01.24

Кстаті да

alexcoder · 06.01.24

Если имеется ввиду убрать эту галку, то эффекта нет, а после переподключения vpn она опять на месте, похоже на то что клиент wireguard пересоздает туннель заново при каждом подключении, поэтому и метрики интерфейса не сохраняются и нужно запускать отдельный скрипт чтобы их поменять после подключения.

Maxxx · 06.01.24

Стикався з гємором, якщо у клієнта і цільової мережі, куди підключається VPN, однакові діапазони, наприклад 192.168.1.0/24, не той випадок?

alexcoder · 06.01.24

Maxxx сказав(ла):
Стикався з гємором, якщо у клієнта і цільової мережі, куди підключається VPN, однакові діапазони, наприклад 192.168.1.0/24, не той випадок?

Нет. На vpn адреса 10.16.84.х, локалка 192.168.100.х

iridiumcat · 07.01.24

Просто было время на досуге, решил потестить.
Что на компах с десяткой не вышло отловить данную проблему, когда локальный ip 192.168.1.xxx ходит через wireguard, если он добавлен в исключение, что на виртуалке - тоже не увидел проблем.
Также у меня в конфиге разрешения выглядят так

Код:

AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Смысл исключать локальные адреса по отдельности?

alexcoder · 07.01.24

iridiumcat сказав(ла):
Просто было время на досуге, решил потестить.
Что на компах с десяткой не вышло отловить данную проблему, когда локальный ip 192.168.1.xxx ходит через wireguard, если он добавлен в исключение, что на виртуалке - тоже не увидел проблем.
Также у меня в конфиге разрешения выглядят так

Код:

AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Смысл исключать локальные адреса по отдельности?

Не совсем понял это: "Что на компах с десяткой не вышло отловить данную проблему, когда локальный ip 192.168.1.xxx ходит через wireguard, если он добавлен в исключение, что на виртуалке - тоже не увидел проблем." Все нормально или возникают проблемы?

Смысл исключать локальные адреса по отдельности?
Я вычислял эту строку в онлайн калькуляторе для диапазона 192.168.х.х, такую строку мне выдал калькулятор. Одно время блокировало доступ к интерфейсу роутеров, как решение была ссылка на калькулятор. Сейчас проверил AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1 Работает так же, это потестю, но главная проблема так и не исчезла, так и ходит к шарам через VPN даже в локалке.

iridiumcat · 08.01.24

Я имел ввиду, что на двух компах в локалке, с запущенным wireguard локальные ip ходят на пряму, минуя туннель.
Попробуй на vps забанить порты 139 и 445

Код:

ufw deny 139,445

Интересно что будет?

alexcoder · 08.01.24

Интересно что будет?
Будет выход груды кирпичей. firewall был выключен, пришлось его включить, пока не переподключился к wg эффекта не было, а после отключения подключиться к серверу я уже не смог никак ни wg ни даже по ssh. Сейчас восстанавливается из админ панели из бэкапа.

iridiumcat · 08.01.24

Я так тоже когда-то попался. Но там, помнится, у меня был доступ через биллинг к vnc.
Как восстановишь, то попробуй еще раз, только надо будет сначала

Код:

ufw allow ssh

alexcoder · 08.01.24

После такого и wireguard не подключается. Даже если будет работать ssh, то wireguard все равно работать не будет.

iridiumcat · 08.01.24

ну так надо порт на котором сидит wireguard тоже в файрфолле разрешить

Howl · 22.09.24

alexcoder, не знаю насколько для тебя актуально на текущее время проблема, озвученная выше, но подниму тему.

alexcoder сказав(ла):
Что нужно сделать чтобы при включенных соединениях на обоих машинах трафик шел через локальную сеть?

Правильно составить таблицу маршрутизации на клиентских машинах, а точнее метрики потоков трафика.

На клиенте 1 (интерфейс 192.168.100.139)
Верни стандартную метрику потока с 5000 на 5. В командной строке, запущенной с правами администратора, выполни команду:

Код:

route -p -4 add 192.168.100.0 mask 255.255.255.0 0.0.0.0 metric 1 if 23

На клиенте 2 (интерфейс 192.168.100.200)
В командной строке, запущенной с правами администратора, выполни команду:

Код:

route -p -4 add 192.168.100.0 mask 255.255.255.0 0.0.0.0 metric 1 if 16

Данные команды сообщает хосту в сети 192.168.100.0/24 о том, что для того, чтобы достичь сети 192.168.100.0 с маской 255.255.255.0, необходимо использовать интерфейсы с индексом 23 (интерфейс 192.168.100.139) и 16 (интерфейс 192.168.100.200) соответственно.
Индексы интерфейсов перепроверь, мог ошибиться.

Далее следует перепроверить таблицу маршрутизации, выполнив команду при активном туннели WireGuard:

Код:

route -4 print

Таблице должны присутствовать такие строчки:

Код:

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
   Сетевой адрес      Маска сети   Адрес шлюза         Интерфейс   Метрика
// для клиента 1 //
   192.168.100.0   255.255.255.0       On-link   192.168.100.139        51
// для клиента 2 //
   192.168.100.0   255.255.255.0       On-link   192.168.100.200        51
<...>
===========================================================================
Постоянные маршруты:
  Сетевой адрес       Маска сети   Адрес шлюза                     Метрика
  192.168.100.0    255.255.255.0       On-link                           1

После исправь метрику потока для туннеля на такую, чтобы она была больше той, которая была присвоена правилом выше. По умолчанию она у тебя равна 5. Для корректного применений изменений необходимо перезапустить интерфейсы или перезагрузить компьютер.

Если туннель у тебя поддерживает сеть IPv6, то практически аналогично настраиваешь таблицу. Часть команды "route -4" предназначена для IPv4, а для IPv6 -- "route -6".

WireGuard і локальна мережа

alexcoder

Паук

Пивовар

alexcoder

Паук

Пивовар

alexcoder

alexcoder

iridiumcat

Паук

Пивовар

alexcoder

Maxxx

Ябкодрочер)

alexcoder

iridiumcat

alexcoder

iridiumcat

alexcoder

iridiumcat

alexcoder

iridiumcat

Howl

Да трам же тарарам!