Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Uppkopplad till hemmet via VPN - kan inte komma åt dator med VPN-klient aktiv

1
Skriv svar
Permalänk
Medlem

Uppkopplad till hemmet via VPN - kan inte komma åt dator med VPN-klient aktiv

Hej,
Har följande setup:
Hemmanätverk med
Unifi gateway 192.168.1.1
RaspberryPi 192.168.1.5

Har satt upp en Wireguardserver på Unifi
Har en aktiv VPN installerad på RPI (OVPN via Wireguard)

När jag är lokalt hemma så kan jag pinga och komma åt min RPI utan problem
När jag kopplar upp mig mot hemmet med VPN så kan jag inte komma åt min RPI
Om jag stänger av VPN-klienten på RPI så fungerar det dock.

Det är väldigt standard uppsatt, HemVPN är bara standard från Unifis inställningar och har klientkonfig med AllowedIps: 192.168.2.1/32, 192.168.2.2/32, 0.0.0.0/0 som typ enda inställning

VPN på RPI har konfig: allowed ips: 0.0.0.0/0, ::/0 om jag kör wg show

Tacksam för hintar hur jag kan komma åt min RPI via VPN samtidigt som den har VPN för trafik utåt påslaget.

Redigera
Citera flera Citera
Permalänk
Medlem

Har Wireguard-servern tillåtelse att komma åt det lokala nätverket? Hur är din UniFi konfigurerad?

Låter som att din gateway inte tillåter trafik, eftersom att själva VPN anslutningen fungerar utanför ditt lokala nätverk.

Visa signatur

Utan spaning, ingen aning.

Redigera
Citera flera Citera
Permalänk
Medlem

Kan rekommendera Tailscale, mycket smidigare och "bara funkar".

Redigera
Citera flera Citera
Permalänk
Medlem

Kolla routingtabellen på RPi:n.

Antag att RPi:n får ett SYN-segment från 192.168.2.2. Det svarar med SYN+ACK.

Vart går svaret? Till din Unifi-pryl för vidare routing till Wireguard-interfacet på denna eller till OVPN?

Klienten finns på ena stället, men inte på andra.

192.168.2.1/24 ska rimligtvis routas via 192.168.1.1.

Du kan rimligen sätta upp routen via DHCP-option.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av IB:

Har Wireguard-servern tillåtelse att komma åt det lokala nätverket? Hur är din UniFi konfigurerad?

Låter som att din gateway inte tillåter trafik, eftersom att själva VPN anslutningen fungerar utanför ditt lokala nätverk.

Gå till inlägget

Jag kommer åt allt utom den burk som i sin tur har en VPN igång mot OVPN. Så mitt problem är inte att jag inte kommer åt mitt LAN

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av KAD:

Kolla routingtabellen på RPi:n.

Antag att RPi:n får ett SYN-segment från 192.168.2.2. Det svarar med SYN+ACK.

Vart går svaret? Till din Unifi-pryl för vidare routing till Wireguard-interfacet på denna eller till OVPN?

Klienten finns på ena stället, men inte på andra.

192.168.2.1/24 ska rimligtvis routas via 192.168.1.1.

Du kan rimligen sätta upp routen via DHCP-option.

Gå till inlägget

Tack men jag är lost i allt du skriver. Hur kollar jag routingtabellen och hur tolkar jag den? Notera att allt fungerar om jag stänger av VPN-klienten på RPI

Alltså jag försöker bara pinga min rpi med ping 192.168.1.5 som fungerar när jag ärkopplad lokalt eller via VPN om VPN-klienten är avstängd på Rpi. Jag försöker inte göra några magiska trick att tunnla vidare eller så

Inser att det blir lite luddigt. Jag har alltså en macbook som har en Wireguard-klient mot mitt egna VPN hemma. Sedan har min RPI hemma en Wireguard-klient mot OVPN.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av dlq84:

Kan rekommendera Tailscale, mycket smidigare och "bara funkar".

Gå till inlägget

Tack men Tailscale finns inte som ett alternativ i min Unifi och tvivlar på att det finns en magisk kula här - har testat både Wireguard samt Unifis egna VPN Teleport. Båda med samma resultat i just mitt speciella fall.

Redigera
Citera flera Citera
Permalänk
Medlem

Ja skulle gissa på att svaret kanske gömmer sig i routing-tabellen på routern kontra vilka IP-adresser som används på RPi:en kontra VPN där. Säg om du får B-klass nät (172.16.0.0/16) när du kopplar upp via Wireguard eller UniFi Teleport, och kolliderande nät används i VPN-tunneln på RPi:en. En potentiell lösning där skulle vara att du masquerade:ar inkommande trafiken från Wireguard in mot IP-adressen på RPi:en, då kommer det troligtvis fungera då den IP-adress RPi:en ser blir gateway IP:t på UniFi-routern, dvs C-klass nät (192.168.0.0/16) och således ingen krock. Eller om du konfigurerar om Wireguard-konfigurationen så du kör med ett C-klass nät även för detta.

Visa signatur

Also found as @piteball@mastodon.rockhost.se
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2690, 272GB, 3TB SSD, Nvidia Tesla P4
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2697v2, 256GB, 2TB SSD
Xpenology Storage - SuperMicro X10SLL-F/SC825TQ, Xeon E3-1231 v3, 16GB, 90TB HDD
Xpenology Backup - Dell PowerEdge R230, Xeon E3-1220v6, 16GB, 12TB HDD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pitr-:

Ja skulle gissa på att svaret kanske gömmer sig i routing-tabellen på routern kontra vilka IP-adresser som används på RPi:en kontra VPN där. Säg om du får B-klass nät (172.16.0.0/16) när du kopplar upp via Wireguard eller UniFi Teleport, och kolliderande nät används i VPN-tunneln på RPi:en. En potentiell lösning där skulle vara att du masquerade:ar inkommande trafiken från Wireguard in mot IP-adressen på RPi:en, då kommer det troligtvis fungera då den IP-adress RPi:en ser blir gateway IP:t på UniFi-routern, dvs C-klass nät (192.168.0.0/16) och således ingen krock. Eller om du konfigurerar om Wireguard-konfigurationen så du kör med ett C-klass nät även för detta.

Gå till inlägget

Ok, försöker läsa på lite för förstår nada :(. "route -n" på min RPI ger:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0

Vet inte hur man tolkar detta...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av ElFeo2:

Ok, försöker läsa på lite för förstår nada :(. "route -n" på min RPI ger:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 100 0 0 eth0

Vet inte hur man tolkar detta...

Gå till inlägget

Ja det där säger inte mer än att du har en route ut mot internet (0.0.0.0/0) som går genom routerns IP-adress 192.168.1.1 som nästa hopp, samt att det lokala nätet är 192.168.1.0/24. Om OpenVPN är uppkopplat på RPi:en så borde du ha en rutt aktiv även över denna. För en överskådligare vy över rutterna kan du i stället köra kommandot "ip route list".

Vad menar du förresten med att du kör OpenVPN via Wireguard? Jag känner mig lite ringrostig på sådana hobby VPN-lösningar då jag normalt sett bara kör hårdvaruaccelererad IPSec. Jag läste lite på hur Wireguard sätter upp routing:en, tydligen sätter den upp en egen fristående tabell, därefter styr "rules" (ip rule) över vilken väg trafiken kommer gå. Att det fungerar att nå RPi:en när du sitter lokalt är ju ingen förvåning eftersom den trafiken inte ruttas utan switchas, problemet blir som sagt när du kommer in via VPN och troligtvis får en IP-adress i 172.16.x.x någonting som av en eller annan anledning leds någon annanstans i stället för att returneras tillbaks över VPN-förbindelsen till UniFi gateway:en. En masquerade av inkommande VPN-trafik mot 192.168.1.5 bör således lösa problemet då RPi:en då kommer se trafiken som att den kommer från 192.168.1.1 och sköter adressöversättning som en mellanhand.

Visa signatur

Also found as @piteball@mastodon.rockhost.se
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2690, 272GB, 3TB SSD, Nvidia Tesla P4
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2697v2, 256GB, 2TB SSD
Xpenology Storage - SuperMicro X10SLL-F/SC825TQ, Xeon E3-1231 v3, 16GB, 90TB HDD
Xpenology Backup - Dell PowerEdge R230, Xeon E3-1220v6, 16GB, 12TB HDD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pitr-:

Ja det där säger inte mer än att du har en route ut mot internet (0.0.0.0/0) som går genom routerns IP-adress 192.168.1.1 som nästa hopp, samt att det lokala nätet är 192.168.1.0/24. Om OpenVPN är uppkopplat på RPi:en så borde du ha en rutt aktiv även över denna. För en överskådligare vy över rutterna kan du i stället köra kommandot "ip route list".

Vad menar du förresten med att du kör OpenVPN via Wireguard? Jag känner mig lite ringrostig på sådana hobby VPN-lösningar då jag normalt sett bara kör hårdvaruaccelererad IPSec. Jag läste lite på hur Wireguard sätter upp routing:en, tydligen sätter den upp en egen fristående tabell, därefter styr "rules" (ip rule) över vilken väg trafiken kommer gå. Att det fungerar att nå RPi:en när du sitter lokalt är ju ingen förvåning eftersom den trafiken inte ruttas utan switchas, problemet blir som sagt när du kommer in via VPN och troligtvis får en IP-adress i 172.16.x.x någonting som av en eller annan anledning leds någon annanstans i stället för att returneras tillbaks över VPN-förbindelsen till UniFi gateway:en. En masquerade av inkommande VPN-trafik mot 192.168.1.5 bör således lösa problemet då RPi:en då kommer se trafiken som att den kommer från 192.168.1.1 och sköter adressöversättning som en mellanhand.

Gå till inlägget

Förstår att det är lite förvirrande med min setup. Svårt för mig att förklara då jag inte kan det rätta lingot också. OVPN är en leverantör av VPN-tjänster, för att använda den så kan man använda antingen OpenVPN eller Wireguard. Jag har valt Wireguard. Hoppas det gör det hela lite mer rimligt att förstå.

ip route list på min RPI ger (jag ser att det är samma oavsett VPN-tjänst påslagen eller ej):
default via 192.168.1.1 dev eth0 proto static metric 100
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.5 metric 100

Borde det inte bli olika med VPN-tjänsten påslagen? och om inte, då det är samma med tjänsten av/på så kanske inte lösningen på problemet där?

Jag ser ju att jag "surfar" via VPN-tjänsten i varje fall så den är ju påslagen...
Tack alla som läser och försöker ge tips!

Redigera
Citera flera Citera
1
Skriv svar