Wireguard server bakom dubbla routrar

Hej!

Jag behöver hjälp att fundera ut vad jag missat för att få följande setup att fungera med Wireguard. Det fungerar fint när jag ansluter via telefonens 5g men jag måste stänga av tunneln på min telefon när jag är hemma på wifi:t för att nå enheter på hemnätverket. Jag vill kunna ha wireguard tunneln alltid igång på telefonen.

Min setup är enligt bild med lite mer detaljer nedan:

1) Ownits router använder jag för att konvertera fiber in till vanliga nätverkskablar. Den har jag inte admin-konto till så här kan det finnas inställningar jag inte når utan att gå via kundsupport. Det är en Inteno FG500.

2) Bakom den har jag min egna huvudrouter som jag nyligen uppgraderat till en Asus RT-AX86U Pro. Den agerar DHCP server och alla andra enheter hemma ligger bakom den på IP range 192.168.2.*. Routern har även wifi igång.

3) Jag har en Raspberry Pi som kör PiVPN-mjukvara med Wireguard.

4) I bilden har jag också indikerat var min telefon ansluter till wifi, dvs mellan 4 och 2.

Enligt egen felsökning kom jag fram till att routern behövde ha featuren NAT Hairpairing eller NAT Loopback som det också kan kallas. Det hade inte förra routern så jag köpte då en Asus RT-AX86U Pro. Dock kvarstår samma problem, att Wireguard fungerar fint för telefonen på 5g men jag måste stänga av Wireguard klienten på telefonen om jag är på Wifit.

Jag har satt upp Wireguard hos en kompis som har väldigt lik setup, men har inte en extra router för att decode:a fiber som jag har hemma. Kan det vara anledningen? Och vad kan jag ha missat för att få det att fungera?

Otroligt tacksam för idéer att hjälpa mig felsöka det här! Jag har bråttats med detta i snart 2 år

Tack för intresserade svar!

mrqaffe: Precis som Rouge of Darkness svarade så behöver jag konvertera fiber in till lan och det har jag Inteno:n till.

Rouge of Darkness: Jag kommer åt routern om jag loggar in med användarnamnet "user" men "admin" har Ownit tagit ägandeskap av. Jag har varit i kontakt med kundtjänst tidigare kring detta. Trevlig kundtjänst men det känns lite obehagligt för mig som slutkund att de är admin på en enhet hemma hos mig. Som "user" kan jag inte se några inställningar kring NAT Hairpin eller liknande.

Affe0: Mycket utförligt beskrivet! Ja precis så här ser jag också på situationen. Det låter ju definitivt då som att det fastnar i Inteno routern!

Jag ser två scenarion framför mig då, och ni kanske kan se några fler?

1) Jag kontaktar Ownit (min ISP) och ber dem aktivivera NAT Hairpin / NAT Loopback åt mig på Inteno routern

2) Jag kontaktar Ownit och ber (igen) om att få bli admin på Inteno routern

3) Jag kontaktar Ownit och ber dem ändra inställningar på Inteno routern att bara vara någon slags fiberdecoder och skicka ALL trafik vidare till min huvudrouter (Asus RT-AX86U Pro, #2 i bild)

4) Någon idé från er?

Är det något jag borde tänka på kring ovan förslag på lösningar? Tack!

M89: Hur menar du med "Istället för att gå ut via internet låt telefonen ansluta till den lokala ipn" ? Det är så det blir om jag stänger av Wireguard klienten på min telefon, men jag vill inte behöva stänga av eller slå på den när jag lämnar hemmet. Eller tänker du på någon annan lösning?

jocke92: Split DNS kanske hade fungerat men det låter lite hacky xD . Jag lägger det på minnet om jag inte får rätt på mitt problem på något annat vis kan jag återkomma till det här förslaget!

Toody: Menar du då att min Asus router kommer få en "riktig" IP, dvs att Inteno:n bara blir en äkta fiber-till-lankabel konverterare? Det låter som en möjlig väg framåt. Vad gäller wifit i Inteno:n så har jag stängt av den redan

c01a: Nej det måste jag inte. Jag har laborerat med att få Wireguard att stängas av på min Android telefon automatiskt när jag är hemma men den featuren finns bara på Iphone (läste jag på något forum för något år sedan). Jag använder Android appen "WireGuard", men det kanske finns någon annan app jag kan använda också om jag inte lyckas konfigurera mitt nätvkerk så att Wireguard alltid kan vara påslaget! Jag lägger detta på minnet

Rouge of Darkness: Då låter det som att jag ska härja runt i supporten haha! Jag har som sagt haft med Ownits kundsupport att göra tidigare och de har hittills varit väldigt trevliga och bra att ha att göra med. Sist handlade det om att jag inte ville att de skulle claima port 80.. xD

Det låter som att mitt nästa drag är att kontakta Ownits kundtjänst och se om de kan aktivera NAT Hairpin / Passthrough åt mig. Om det visar sig att deras hårdvara inte stödjer den featuren så kan jag be dem ändra så Inteno:n bara blir en dum kabelkonverterare så min Asus router får agera main router (vilket hade underlättat alla andra setups jag har med port forwarding etc..)

Jag ska ringa dem imorgon för idag är röd dag. Stort tack för engagemanget! Jag hör av mig igen hur det går

"Brygga WAN och LAN", det måste väl vara samma sak som att "göra om Inteno:n till fiber-till-lan konverterare" ? I så fall vet jag hur jag ska beskriva det för deras kundtjänst!

Din alternativa lösning låter avancerad men skönt att höra att det finns alternativ! Min publika IP har inte ändrats på de 6 åren jag varit kund hos Ownit så det är jag inte så orolig för, men det känns inte så bra att designa en lösning på något som KAN ändras under fötterna på mig. För den dagen jag är som mest sårbar kommer vara den dag då det ändrar sig xD

@mrqaffe: Haha, du har rätt i att det mest ställer till det för mig. Det enda syftet är rent strikt att omvandla fiber till nätverkskabel. Allt annat är egentligen bara ivägen för mig. Så den övergripande röda tråden i den här diskussionen leder starkt till att jag borde försöka få Ownit att göra om den till en ren fiber --> RJ45 brygga och låta min Asus router vara routern som får den publika IP:n!

@blunden: Det låter obehagligt då med dubbel NAT. Brygga it is! Jag ska ringa kundtjänst imorgon. Hoppas inte de har klämdag

@jocke92: Ah, snabel-a:a ska jag göra! Ni får ursäkta att mina poster inte är så proffsiga. Jag är medlem sedan 2006 men post:ar väldigt sällan och hinner glömma hur man gör Är mer av en lurker
PiHole har jag haft något år och nu förstår jag hur du menar!

@Solanum95: Jag kikade i min app och jag hittar inte någon On-Demand feature. Jag kör WireGuard for Android v1.0.20231018. Jag har läst att Iphone har en sådan feature men det har pga någon specifik säkerhetsdetalj inte varit möjlig att göra för Android. Kan det vara så att dina instruktioner fungerar för en Iphone? Annars, vilken version av app har du?

Förhoppningsvis har Ownits kundtjänst öppet imorgon och inte ledigt pga klämdag Annars får jag väl ringa igen på måndag. Jag återkommer om hur det gått! Prio är att få dem att ställa om Inteno:n till brygg-läge!

@Toody: Men hurraa! Det är fantastiska nyheter för mig, att någon annan här på forumet lyckats göra det jag vill göra! Tackar för infon! Det blev jag väldans glad av att höra!

Jag har ringt kundtjänst 3 gånger idag. I morse tog det 25 minuter att gå från köplats 20 till 17. De andra två gångerna var det 40 och 42 personer före i kön så jag har bara lagt på. De är nog underbemannande i tech supporten idag iom klämdag Jag ska prova på måndag igen!

Nu har det löst sig!

Jag ringde kundtjänst som hade first line support öppen idag (söndag) och de förstod precis vad jag ville åstadkomma och har nu bryggat LAN port 2 på Inteno:n att släppa igenom WAN. Så nu har min egna Asus-router en publik IP-address på range 80.*.*.*, precis som @Toody gjort tidigare. Wireguard fungerar nu fint att ha påslaget på min telefon även om den är uppkopplad på Wifi.

Stort tack för allt engagemang!