Auteur Sujet: VPN Wireguard entre 2 openWRT  (Lu 3134 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 904
VPN Wireguard entre 2 openWRT
« Réponse #72 le: 12 septembre 2019 à 22:15:15 »
Je crois avoir enfin compris le fonctionnement :

Si j'active le routage :  la communication fonctionne à partir de n'importe quelle machine sauf le serveur et le client (excepté entre les interfaces WG) vers le LAN d'en face
Si j'active le NAT en plus : la communication fonctionne à partir du serveur et du client

Une idée du pourquoi  ? Théoriquement il ne devrait pas y en avoir besoin, si ?

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 6 270
  • FTTH 1Gb/s sur Paris (75)
VPN Wireguard entre 2 openWRT
« Réponse #73 le: 13 septembre 2019 à 02:17:14 »
ca ressemble typiquement problème de routage de l'adresse source.

un ping (ou n'importe quel trafic bidirectionnel) indique une adresse de retour , si celle-ci est l'adresse d'interface wg elle n'est peut-etre pas joignable depuis le lan distant (quand on ping depuis un routeur, celui utilise l'ip de l'interface de sortie comme adresse source).

Le test à faire c'est avec les options '-S 1.2.3.4' ou '-I eth0' de la commande ping qui permettent de choisir l'interface ou l'IP source.

ou de faire une capture des ping pour voir les valeurs des adresses.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 904
VPN Wireguard entre 2 openWRT
« Réponse #74 le: 13 septembre 2019 à 17:42:16 »
C'était bien ça.

J'ai ajouté une route statique vers 172.16.2.0/24 sur les 2 routeurs et maintenant ça marche sans NAT  :D

Pourquoi j'y ai pas pensé avant...

Encore merci  :)

EDIT  : Pas tout à fait, certains périph's ne sont pas joignables, comme mon point d'accès ou mon switch. Seraient-ils trop vieux pour aller interroger le routeur et savoir la route ? Ou peut-être que ce n'est pas implèmenté ?

J'aussi le soucis avec une machine windows 7, mais là c'est bizarre, il répond bien au ping depuis mon PC mais quand par exemple je veux scanner les ports, nmap ne dit qu'il ne répond pas au ping (idem avec -sP, pas dans la liste) et il faut que j'utilise l'option -Pn, protection du pare-feu ? Donc il pourrait aussi potentiellement refuser le ping d'un autre subnet que le sien ?
« Modifié: 13 septembre 2019 à 18:23:13 par renaud07 »

 

Mobile View