✅

Sin acceso a internet cuando uso WireGuard en Raspberry Pi

Solospam 25 noviembre 2020 15:59 ✎

⋮

Tengo una Raspberry Pi 4 corriendo con una versión de WireGuard, que técnicamente funciona pero no me da salida a internet.

La raspi está en la oficina con la IP 172.16.1.70, y yo estoy en casa con la IP 192.168.1.11

Cuando configuro y conecto mi user WireGuard en PC me da "handshake", envía y recibe datos pero no me deja hacer un ping por ejemplo al Cloudflare.

En cambio me deja acceder mediante VNC a la raspi y por supuesto la raspi tiene acceso a internet.

Con respecto al router es un Mikrotik 4011 y tiene abierto el puerto por defecto de WireGuard, por eso no entiendo que puede estar pasando para no tener acceso a internet mediante la VPN.

Quedo a la espera de vuestras impresiones al respecto.

Duda resuelta en ✅ Solucionado. Aplicando el comando netstat -rn veo las puertas…

BocaDePez 25 noviembre 2020 16:05 ✎

⋮

La raspberry tiene activado el ip_forward? (sysctl -w net.ipv4.ip_forward=1 o lo metes en /etc/sysctl.conf para que no se pierde al reiniciar).

✖

Solospam 25 noviembre 2020 20:36

⋮

Si, está activo

vukits 25 noviembre 2020 16:17

⋮

en la raspberry. tienes que activar masqerading, entre otras cosas

✖

Solospam 25 noviembre 2020 20:39

⋮

La VPN estuvo funcionando hasta hace un par de semanas, ahora me funciona parcialmente ya que tengo acceso a la empresa pero no a internet

pepejil 25 noviembre 2020 16:35

⋮

Si quieres tunelizar el tráfico, debes permitir ip_forwarding, activar NAT con masquerade y configurar el servidor para enrutar todo el tráfico a través de la interface donde tiene salida.

✖

Solospam 25 noviembre 2020 20:38

⋮

La VPN llevaba 2 meses funcionando, por una actualización de sistema dejó de funcionar; ahora me permite acceso desde mi casa a la oficina, pero no me da salida a internet

BocaDePez 25 noviembre 2020 18:36

⋮

Supongo que estará accesible el puerto de wireguard en la RPI desde fuera, no?

✖

Solospam 25 noviembre 2020 20:37

⋮

Si no lo estuviera entiendo que no tendría acceso desde casa.

vukits 25 noviembre 2020 20:55

⋮

hay dos cosas que son de perogrullo, pero necesito que te asegures de ellas:

el rango LAN de tu casa debería ser diferente del rango LAN de la red remota a la que accedes (que no sea 192.168.1.* en tu casa, y lo mismo en la oficina)
que puedas hacer ping al router de salida de internet de la empresa …

y como siempre… 'traceroute' es tu amigo…

✖

Solospam 25 noviembre 2020 21:08

⋮

En casa el dchp es 192.168.1.1/24

En la oficina es 172.16.1.1/24

Si puedo hacer ping y tracert a la DDNS de la empresa

En IPTABLES tengo entre otras estas reglas

✖

vukits 26 noviembre 2020 10:08

⋮

En la oficina es 172.16.1.1/24

si el enrutado de la raspberry está bien, deberías poder hacer ping a 172.16.1.1 …

sino, toca revisar las rutas que tiene la raspberry

✖

Solospam 26 noviembre 2020 10:24

⋮

La raspi hace ping al router de la oficina, al router de casa y al usuario WireGuard

Lo que no hace es que el usuario WireGuard pueda buscar en Google, por ejemplo

apocalypse 25 noviembre 2020 21:55

⋮

Comprueba lo que te dicen. Que la interfaz de salida a internet de la Raspberry sea la única puerta de enlace predeterminada, que tenga activado el NAT Masquerading y que desde la interfaz de WireGuard se permita el tráfico (Forwarding) a la que da salida a internet.

✖

Solospam 25 noviembre 2020 23:19

⋮

Que la interfaz de salida a internet de la Raspberry sea la única puerta de enlace predeterminada

La raspi sale en la 192.168.1.70 y tengo el NAT del mikrotik apuntando al puerto de esa dirección para abirlo

que tenga activado el NAT Masquerading

Eso no se como mirarlo; si es poner "net.ipv4.ip_forward=1" en /etc/sysctl.conf si lo tengo

desde la interfaz de WireGuard se permita el tráfico (Forwarding) a la que da salida a internet.

Si puedo conectarme desde casa a la oficina es porque permite tráfico, de todas formas en IPTABLES se contempla Wireguard como dije más arriba

✖

apocalypse 25 noviembre 2020 23:32

⋮

La raspi sale en la 192.168.1.70 y tengo el NAT del mikrotik apuntando al puerto de esa dirección para abirlo

Me refiero que no haya ninguna Gateway más configurada que la del Mikrotik.

Eso no se como mirarlo; si es poner "net.ipv4.ip_forward=1" en /etc/sysctl.conf si lo tengo

No basta con eso (suponiendo que la acción por defecto sea reject o drop), tienes que crear una regla iptables que permita la redirección del tráfico de una interfaz a otra:

iptables -A FORWARD -i interfaz_wireguard -o interfaz_internet(mikrotik) -j ACCEPT

Y para activar el masquerade (NAT) en la interfaz de la oficina (salida a internet): iptables -t NAT -A POSTROUTING -o interfaz_internet(mikrotik) -j MASQUERADE

✖

Solospam 26 noviembre 2020 10:59 ✎

⋮

Tras poner lo que me dijiste me sale esto

No encuentra la tabla NAT, será ese el problema? iptables -t NAT -L -n arroja:

Solospam 26 noviembre 2020 11:29 ✎

⋮

Solucionado. Aplicando el comando netstat -rn veo las puertas de enlace y salidas que tiene la raspi:

Veo que por alguna razón hay dos puertas de enlace, borro la incorrecta con el comando route delete default gw 192.16.1.1 eth0 y ahora WireGuard funciona como debe.

Gracias a todos los que colaborasteis, vuestra ayuda me ha ayudado a tirar de determinados hilos hasta localizar el problema y solventarlo

Muchas gracias, en especial a @vukits y a @apocalypse

Menawer 6 noviembre 2023 17:38

⋮

Después de mucho buscar el error de no salir a internet se me fue poniendo pivnp -d