Forumi


Povratak   PC Ekspert Forum > Internet i mrežne tehnologije > Mreže
Ime
Lozinka

Odgovori
 
Uređivanje
Staro 22.08.2024., 22:59   #1
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
IP-sec/Wireguard VPN problem

Pozdrav expertovci,

Pokusavam ponovno ostvariti VPN konekciju izmedju dvije remote lokacije.
Radi se o lokacijama koje su identicno podesene
- A1 provider koji se nalazi u bridge modu sa mojim routerom TPlink er707m

Iz nekog razloga, konekcija IPsec je pukla te se vise ne moze spojiti na VPN server. Ista stvar je i sa wireguardom.
Obje konekcije prije prekida su radile bez problema te po potrebi.

Logovi prikazuju problem sa ikev1 exchange keyevima. Ponavljam VPN je s istom konfiguracijom uredno radio prije prekida sada vise ne.

Na pamet mi je pao CGnat da je omogucen na A1 routerima, no tracert vraca:

Code:
traceroute cloudflare.com
traceroute: Warning: cloudflare.com has multiple addresses; using 104.16.133.229
traceroute to cloudflare.com (104.16.133.229), 64 hops max, 40 byte packets
 1  192.168.10.1 (192.168.10.1)  2.890 ms  3.669 ms *
 2  88.201.xxx.1 (88.201.xxx.1)  21.107 ms  17.440 ms  15.402 ms
 3  dh70-61.xnet.hr (83.139.70.61)  23.457 ms  19.063 ms  22.358 ms
 4  cloudflare.cix.hr (185.1.87.115)  28.282 ms  17.826 ms  21.325 ms
 5  104.16.133.229 (104.16.133.229)  18.282 ms  21.397 ms  18.359 ms
Ista stvar sa drugom lokacijom, CGnat je iskljucen. Nisam siguran sto jos provjeriti pa ako ima tko kakvu ideju samo pisite, takodjer ako je potrebna jos koja informacija samo pucajte.


benny_blanco je online   Reply With Quote
Staro 22.08.2024., 23:06   #2
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Da se jos nadovezem, imam OpenVPN server dignut na routerima. Mobitelom/laptopom se mogu spojiti na obje lokacije bez problema dok sam na podatkovnoj mrezi, spajanjem na jednu od wifi mreza koje su na lokacijama, automatski se gubi konekcija sa OpenVPN serverom te se nije moguce spojiti dok se ne prebacim ponovno na podatkovnu mrezu
benny_blanco je online   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 22.08.2024., 23:06   #3
Cuky
jedan i jedini :D
Moj komp
 
Cuky's Avatar
 
Datum registracije: Sep 2005
Lokacija: novi zagreb
Postovi: 5,062
Jesi provjerio izvana na obje lokacije dal ti je otvoren neki testni port/jel mu mozes pristupit?
Cuky je online   Reply With Quote
Staro 22.08.2024., 23:09   #4
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Citiraj:
Autor Cuky Pregled postova
Jesi provjerio izvana na obje lokacije dal ti je otvoren neki testni port/jel mu mozes pristupit?

Je, u mogucnosti sam pristupiti otvorenim portovima na routerima
benny_blanco je online   Reply With Quote
Staro 23.08.2024., 00:53   #5
Cuky
jedan i jedini :D
Moj komp
 
Cuky's Avatar
 
Datum registracije: Sep 2005
Lokacija: novi zagreb
Postovi: 5,062
Citiraj:
Autor benny_blanco Pregled postova
Da se jos nadovezem, imam OpenVPN server dignut na routerima. Mobitelom/laptopom se mogu spojiti na obje lokacije bez problema dok sam na podatkovnoj mrezi, spajanjem na jednu od wifi mreza koje su na lokacijama, automatski se gubi konekcija sa OpenVPN serverom te se nije moguce spojiti dok se ne prebacim ponovno na podatkovnu mrezu
Ovo sa pucanjem vpn-a kad se lokalno spojis bi rekao da je odvojen problem, odnosno da nemas slozen hairpin nat (nat loopback).
Cuky je online   Reply With Quote
Staro 23.08.2024., 05:41   #6
radi.neradi
Premium
 
Datum registracije: May 2023
Lokacija: Mrkopalj
Postovi: 51
napravi tcpdump traffica na obe lokacije kod pokusaja povezivanja na wireguard peera te za usporedbu napravi spajanje sa uredaja koji je na podatkovnoj mrezi, zatim sa private kljucem decryptaj traffic za dublju analizu i usporedi wireguard udp headere kod uspjesne i neuspjesne konekcije, recimo u wiresharku. drugim rijecima vidi sta je sa handshakeom. drugo pokusaj smanjit wireguard mtu, iako sumnjam da ima veze s njim jer su paketi dovoljno mali da se barem konekcija uspostavi. kada se spajas sa jedne na drugu a1 lokaciju, vidis li uopce da paketi stizu na uredaj koji vrti wireguard servis?
radi.neradi je offline   Reply With Quote
Staro 23.08.2024., 10:01   #7
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Citiraj:
Autor Cuky Pregled postova
Ovo sa pucanjem vpn-a kad se lokalno spojis bi rekao da je odvojen problem, odnosno da nemas slozen hairpin nat (nat loopback).

Budem chekirao, thx


Citiraj:
Autor radi.neradi Pregled postova
napravi tcpdump traffica na obe lokacije kod pokusaja povezivanja na wireguard peera te za usporedbu napravi spajanje sa uredaja koji je na podatkovnoj mrezi, zatim sa private kljucem decryptaj traffic za dublju analizu i usporedi wireguard udp headere kod uspjesne i neuspjesne konekcije, recimo u wiresharku. drugim rijecima vidi sta je sa handshakeom. drugo pokusaj smanjit wireguard mtu, iako sumnjam da ima veze s njim jer su paketi dovoljno mali da se barem konekcija uspostavi. kada se spajas sa jedne na drugu a1 lokaciju, vidis li uopce da paketi stizu na uredaj koji vrti wireguard servis?

Spustio sam MTU na 1280 te ista stvar, zanimljivo je vidjeti na routeru zapravo da ima prometa no handshake nije uspostavljen iz nekog razloga, ostatak budem testirao kad vrijeme dopusti, hvala!

benny_blanco je online   Reply With Quote
Staro 23.08.2024., 12:39   #8
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Evo dobijem Alert kako je VPN Ipsec konekcija upostavljena, sama od sebe nicim izazvana. Vidjet cemo hoce li prezivjet promjenu wan ip-a

benny_blanco je online   Reply With Quote
Staro 24.08.2024., 20:31   #9
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Evo, promjenom wan IP-a vratio sam se nazad inicijalnom problemu.
benny_blanco je online   Reply With Quote
Staro 25.08.2024., 12:01   #10
Nikky
Moderator
 
Nikky's Avatar
 
Datum registracije: Sep 2006
Lokacija: St
Postovi: 23,038
Znači da nisi dobro riješio / postavio DDNS koji prvo treba (kada imaš promjenjivu vanjsku ip adresu) a onda na to ide VPN Ipsec konekcija,
https://www.google.com/search?q=VPN+Ipsec+and+DDNS
Nikky je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 25.08.2024., 13:24   #11
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Citiraj:
Autor Nikky Pregled postova
Znači da nisi dobro riješio / postavio DDNS koji prvo treba (kada imaš promjenjivu vanjsku ip adresu) a onda na to ide VPN Ipsec konekcija,
https://www.google.com/search?q=VPN+Ipsec+and+DDNS
Pozdrav Nikky,
DDNS (no-ip) je postavljen na obje lokacije, svakih sat vremena se ip provjerava i povezuje s domenama.
benny_blanco je online   Reply With Quote
Staro 25.08.2024., 14:50   #12
Cuky
jedan i jedini :D
Moj komp
 
Cuky's Avatar
 
Datum registracije: Sep 2005
Lokacija: novi zagreb
Postovi: 5,062
Da ti nije to problem, prevelik delay izmedju updatea? Smanji to ako mozes na 5 min.
Cuky je online   Reply With Quote
Staro 28.08.2024., 07:05   #13
radi.neradi
Premium
 
Datum registracije: May 2023
Lokacija: Mrkopalj
Postovi: 51
update frequency nema utjecaja jer koneckija sa podatkovne mreze prema obje a1 lokacije radi (edit: ili na jednu?)
eventualno ako mu resolver na routeru ne radi kako treba, provjeri za svaki slučaj daje li ispravan ip.
koji uredaj vrti wireguard servis?
mozes li sniffat layer2 na njemu? dolaze li i koji paketi do wg servisa?
ustanovi navedeno da dobijes jasniju sliku.
ne znam kako ti je slozen wireguard interface, ako obe lokacije imaju endpoint druge lokacije,
to je mogući razlog zasto wg interface ima incoming i outgoing traffic (vezano za sliku koju si stavio) (edit: sad sam tek primjetio u slici da nije definiran endpoint, znaci to je lokacija koja ne zapocinje konekciju?)
jer u protivnom nebi trebao dobivat response pakete vec samo outgoing a incoming nula, udp.
pokusaj resetirat statistike pa iznova dumpaj traffic. mozes li se spojit sa prve a1 lokacije na drugu a1 lokaciju preko wireguard protokola, pritom da inicijaliziras spajanje sa nekog drugog uredaja iz mreze?
daj malo vise informacija..

edit: izmjenio sam poruku pa procitaj ponovo.

Zadnje izmijenjeno od: radi.neradi. 28.08.2024. u 14:54.
radi.neradi je offline   Reply With Quote
Staro 06.09.2024., 16:45   #14
MasterX
do you speak it?
 
Datum registracije: Mar 2003
Lokacija: ::1
Postovi: 1,627
pazi da te ne *ebe IPv6 (dual-stack), vidio sam da je A1 nedavno ukljucio IPv6 na vezama koje su bile iskljucivo IPv4 i na kojima je ugasen CG-NAT

mozda nema veze sa svime

koje IP adrese vidis na WAN interfaceu?

da li ti je ugasen IPv6 na TP-Link routerima ili ne?
IPSec je osjetljiva biljka (treba vise otvorenih portova itd. itd.)

prije cca. godinu dana slozio 3 FritzBox-a (7590, 6660, 7590) koji drze WireGuard tunele (LAN-LAN) za manju firmu da povezu lokacije, primarno zbog servera i printanja, funkcionira dobro/stabilno
__________________
Drinking Rum before 10am makes you a Pirate, not an Alcoholic.
MasterX je offline   Reply With Quote
Staro 12.09.2024., 00:29   #15
benny_blanco
another brick in the wall
Moj komp
 
benny_blanco's Avatar
 
Datum registracije: Feb 2008
Lokacija: osk
Postovi: 200
Citiraj:
Autor radi.neradi Pregled postova
update frequency nema utjecaja jer koneckija sa podatkovne mreze prema obje a1 lokacije radi (edit: ili na jednu?)
eventualno ako mu resolver na routeru ne radi kako treba, provjeri za svaki slučaj daje li ispravan ip.
koji uredaj vrti wireguard servis?
mozes li sniffat layer2 na njemu? dolaze li i koji paketi do wg servisa?
ustanovi navedeno da dobijes jasniju sliku.
ne znam kako ti je slozen wireguard interface, ako obe lokacije imaju endpoint druge lokacije,
to je mogući razlog zasto wg interface ima incoming i outgoing traffic (vezano za sliku koju si stavio) (edit: sad sam tek primjetio u slici da nije definiran endpoint, znaci to je lokacija koja ne zapocinje konekciju?)
jer u protivnom nebi trebao dobivat response pakete vec samo outgoing a incoming nula, udp.
pokusaj resetirat statistike pa iznova dumpaj traffic. mozes li se spojit sa prve a1 lokacije na drugu a1 lokaciju preko wireguard protokola, pritom da inicijaliziras spajanje sa nekog drugog uredaja iz mreze?
daj malo vise informacija..

edit: izmjenio sam poruku pa procitaj ponovo.
Prvo, isprika na kasnom odgovoru, stalno kratak s vremenom te nikako da se pozabavim s problemom.

Konekcija s data radi na obje lokacije.

Code:
>   mozes li sniffat layer2 na njemu? dolaze li i koji paketi do wg servisa?
Nemam znanja toliko koristiti wireshark ili ini program za sniffanje da bi dalo neke konkretne rezultate.

Code:
  ne znam kako ti je slozen wireguard interface, ako obe lokacije imaju endpoint druge lokacije,
WG se vrti na TP link routerima, jedan od njih je u server mode, a drugi je peer


Citiraj:
Autor MasterX Pregled postova
pazi da te ne *ebe IPv6 (dual-stack), vidio sam da je A1 nedavno ukljucio IPv6 na vezama koje su bile iskljucivo IPv4 i na kojima je ugasen CG-NAT

mozda nema veze sa svime

koje IP adrese vidis na WAN interfaceu?

da li ti je ugasen IPv6 na TP-Link routerima ili ne?
IPSec je osjetljiva biljka (treba vise otvorenih portova itd. itd.)

prije cca. godinu dana slozio 3 FritzBox-a (7590, 6660, 7590) koji drze WireGuard tunele (LAN-LAN) za manju firmu da povezu lokacije, primarno zbog servera i printanja, funkcionira dobro/stabilno
Na Fritzu IPv6 je ugasen, dok na SDMC-u nemam uopce opciju za provjeru dali je IPv6 ukljucen.

Sto mene zabrinjava je to da SDMC router ima addressu koja se po meni nalazi iza CGNAT-a,

10.214.X.X
No A1 tehnicari tvrde to je njihova IP addressa za konekciju na sam router. Provjeravajuci whatismyip u browseru, adresa koju mi vraca je
80.207.X.X sto opet s druge strane se cini kao vanjska...
benny_blanco je online   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Odgovori


Uređivanje

Pravila postanja
Vi ne možete otvarati nove teme
Vi ne možete pisati odgovore
Vi ne možete uploadati priloge
Vi ne možete uređivati svoje poruke

BB code je Uključeno
Smajlići su Uključeno
[IMG] kod je Uključeno
HTML je Uključeno

Idi na