BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Clientes WireGuard VPN sin acceso los recursos de la red local

Michel92 19

He montado una VPN WireGuard sobre Windows 10 siguiendo estos pasos. En principio está todo bien, con todo en verde, pero me han surgido 2 problemas:

  • Los clientes en Windows pueden navegar y salen a internet través de la VPN pero no pueden acceder a los recursos compartidos en la red, archivos, impresoras, etc. Este problema solo se da el los clientes con Windows, en Android con la aplicación navegan y acceden a los recursos compartidos.
  • Clientes Android: pueden navegar y acceder a los recursos locales de la red de VPN pero se quedan sin conexión a los recursos locales de la red propia.

He intentado distintas configuraciones pero no soy capaz de ver que falla. Al parecer lo ideal seria una conexión point to point pero no me atrevo a meterme a configurar 2 routers, IP tables y demás.

El router es el HGU de Movistar con los puertos abiertos.

Agradeceria alguna pista de como solucionarlo muchas gracias

Os paso esquema de la red:

Esquema de la red
MasterL
1

Tienes un problema de config en lo que llamas clientes

En allowedips debes tener 0.0.0.0

Por eso los peers de server2 sacan todo el trafico IP a traves suyo obedeciendo a su configuracion de wireguard

Y aunque arregles las allowedips vas a tener problemas porque tener la misma red 192.168.1. en las dos sedes tampoco ayuda

BocaDePez
BocaDePez

El cambiar la subred de una de las 2 sedes es obligatorio.

Mi consejo es que cambies el HGU de ambas sedes por un equipo con pfsense hagas un tunel site to site con Wireguard y enrutes las redes locales.

Michel92 19

ya he cambiado las ips de la sede 1 por 192.168.2.XX, conecta con tasas de tranferencia de unos 25MBs pero sigo sin poder acceder a los recursos de la sede 1, al hacer ping me dice error general tanto al servidor 1 a la impresora o al router.

lo de allowedips esta asi en 0.0.0.0

respecto a lo de pfsense que hardware tendria que comprar? la configuracion con fibra de Movistar seria muy complicada?

MasterL

Lee bien mi mensaje. Si tienes 0.0.0.0 en allowedips estas configurando wireguard para que el peer del otro lado sea el gateway de tu equipo. TODO el trafico sale hacia el peer.

Viendo que tienes dificultades para configurar el wireguard yo te recomiendo que recurras a un profesional, de esos que emiten facturas.

Lo digo porque has usado la palabra sede, entiendo que no es un tema casero.

Por ejemplo yo te diria que ojo con pfsense si quieres usar wireguard. Pfsense es freebsd y su implementacion de wireguard es por ahora mala. No para estar al cargo de un enlace punto a punto. Te diria que montes el enlace con un par de mikrotiks, pero para configurarlos vas a tener que leer. Y los HGU los vas a poner en monopuesto? En DMZ? Estan los HGU dando acceso wifi o solo cable? Los cambiamos por una ONT? Que pasa entonces con los telefonos? Tienes ips fijas o no?

No es personal, porque seas tú y quizas tú no piensas así pero a veces creemos que esto de la informatica es facil, sigo el tutorial y ya está, pero hay ramificaciones e implicaciones de seguridad por ejemplo.

Fijate que no es solo dejar caer el enlace punto a punto. Quien va a actualizar los routers, consideraciones de topologia de red, seguridad etc… aunque sea una red pequeña creo que hay que tener todo eso en cuenta para un resultado bueno

Insisto, en definitiva contrata a un profesional. Es dinero bien gastado

arbdlp
1

Para tener acceso a los recursos locales, recuerda editar la conexión en el cliente y desmarcar la casilla de "bloquear el tráfico no tunelizado", cuando la desmarques reconecta de nuevo y ya deberías de tener acceso a los recursos locales, a mi me pasó al unir dos empresas y con eso ya podrían usar las impresoras de la oficina.

Un saludo.

P.D.: Y recuerda de tener dos rangos de IP's diferentes en cada sitio o se formará un conflicto (10.0.0.X en oficina 1 y 10.0.1.X en oficina 2 por ejemplo).

Michel92 19
1

muchas gracias por las aportaciones de todos con el kill switch desactivado ya he conseguido conexión,

Pasos por si alguien tiene el mismo problema:

  • desactivar kill switch, hay veces que no aparece el cuadrado de validación entonces meter en allowedips: 0.0.0.0/1[EnumerationSeparator]128.0.0.0/1
  • agregar en windows, propiedades, tcp/ip4 una segunda IP de otro rango 192.168.X.XX distinto
  • configurar DNS con por ejemplo 8.8.8.8 y 1.1.1.1

con estas configs me ha funcionado en todos los clientes de las sedes,

lo único que me falla es el ordenador de casa que no conecta, he probado con una surface a través del mismo wifi y conecta y accede a recursos sin problema por lo que el problema tiene que estar en la configuración del equipo.

Tambien tiene instalado el wireguard como servidor ¿podria ser ese el problema? lo unico raro que veo es "Warning: the "Ethernet" interface has Forwarding/WeakHostSend enabled, which will cause routing loops" que no se como solucionar

el log que da es el siguiente

2021-11-29 23:42:12.418555: [TUN] [PRUEBA3] Starting WireGuard/0.5.2 (Windows 10.0.18363; amd64)

2021-11-29 23:42:12.418555: [TUN] [PRUEBA3] Watching network interfaces

2021-11-29 23:42:12.421227: [TUN] [PRUEBA3] Resolving DNS names

2021-11-29 23:42:12.546451: [TUN] [PRUEBA3] Creating network adapter

2021-11-29 23:42:12.767988: [TUN] [PRUEBA3] Using existing driver 0.10

2021-11-29 23:42:12.778098: [TUN] [PRUEBA3] Creating adapter

2021-11-29 23:42:13.403756: [TUN] [PRUEBA3] Using WireGuardNT/0.10

2021-11-29 23:42:13.413712: [TUN] [PRUEBA3] Enabling firewall rules

2021-11-29 23:42:13.058596: [TUN] [PRUEBA3] Interface created

2021-11-29 23:42:13.518525: [TUN] [PRUEBA3] Dropping privileges

2021-11-29 23:42:13.518525: [TUN] [PRUEBA3] Setting interface configuration

2021-11-29 23:42:13.518525: [TUN] [PRUEBA3] Peer 7 created

2021-11-29 23:42:13.538868: [TUN] [PRUEBA3] Monitoring MTU of default v6 routes

2021-11-29 23:42:13.538868: [TUN] [PRUEBA3] Interface up

2021-11-29 23:42:13.575726: [TUN] [PRUEBA3] Setting device v6 addresses

2021-11-29 23:42:13.628526: [TUN] [PRUEBA3] Monitoring MTU of default v4 routes

2021-11-29 23:42:13.628526: [TUN] [PRUEBA3] Setting device v4 addresses

2021-11-29 23:42:13.684509: [TUN] [PRUEBA3] Warning: the "Ethernet" interface has Forwarding/WeakHostSend enabled, which will cause routing loops

2021-11-29 23:42:13.696421: [TUN] [PRUEBA3] Startup complete

2021-11-29 23:42:13.804143: [TUN] [PRUEBA3] Sending handshake initiation to peer 7 (xxxxxxxxxxxxxx0)

2021-11-29 23:42:18.864461: [TUN] [PRUEBA3] Sending handshake initiation to peer 7 (xxxxxxxxxxxxx)

2021-11-29 23:42:23.931272: [TUN] [PRUEBA3] Handshake for peer 7 ( ) did not complete after 5 seconds, retrying (try 2)

2021-11-29 23:42:23.931272: [TUN] [PRUEBA3] Sending handshake initiation to peer 7 ()

2021-11-29 23:42:29.047026: [TUN] [PRUEBA3] Handshake for peer 7 () did not complete after 5 seconds, retrying (try 2)

2021-11-29 23:42:29.047104: [TUN] [PRUEBA3] Sending handshake initiation to peer 7 ()