Eoip tunnel over wireguard

[ditheo]

Καλημέρα, θέλω να βάλω eoip tunnel στο wireguard για να συνδέσω 2,3,4 σημεία.
Ο λόγος που θέλω να τα συνδέσω έτσι είναι για να μπορώ να πάρω multicast πακέτα από το Α σημείο στο Β κτλ.

Το έχω υλοποιήσει όπως θα σας δείξω πιο κάτω, λειτουργεί σωστά αλλά στο σημείο Α μου δημιουργεί προβλήματα σε https sites που χρησιμοποιούν το impervadns.net protection, όπως το piraeusbank.gr , dei.gr.

Στο interface του wireguard έχω
Site A
Allowed ips 10.x.0.x/32 η ip wg site b
10.x.0.0/24 wg network
192.168.x.x/24 local site A
10.y.0.0/24 local site B
Site B
Allowed ips 10.x.0.x/24 wg network
192.168.x.0/24 local site B
10.y.0.0/24 local site B

Routes site a
10.y.0.0/24 gw 10.x.0.x (wg site B ip)

Routes site B
192.168.x.0/24 gw 10.x.0.z wg site a ip

Στο nat κάνω masquerade σε κάθε site το interface του wg
Και accept στο dstnat το input interface του wireguard.

Παίζει σωστά λ, μου έρχονται όλα τα δίκτυα στις δύο πλευρές.

Θέλω τώρα να βάλω τα eoip για να έρθουν τα multicast πακέτα.

Τα tunnels φτιάχνονται σωστά και λειτουργούν σωστά, αλλά όταν τα βάζω στο ίδιο bridge του local network αρχίζουν και παίρνουν ips από άλλον dhcp server και θέλω να το αποφύγω. Οπότε στο bridge ένεργοποιησα το use ip firewall και έβαλα και filters να κόψω τα udp πακέτα σε κάθε eoip tunnel στην πόρτα 67-68 . Όπως παρακάτω:

/interface bridge filter
add action=drop chain=input disabled=yes in-interface=eoip-tunnel1 \
ip-protocol=udp mac-protocol=ip src-port=67-68
add action=drop chain=output disabled=yes dst-port=67-68 ip-protocol=udp \
mac-protocol=ip out-interface=eoip-tunnel1
add action=drop chain=forward disabled=yes dst-port=67-68 in-interface=\
eoip-tunnel1 ip-protocol=udp mac-protocol=ip out-interface=eoip-tunnel1


Νόμιζα πως είχα τελειώσει. Αλλά οποίο site χρησιμοποιεί το impervadns μου κάνει error time out. Και δεν μπορώ να βρω το λόγο.

Καμία ιδέα; κάποια καλύτερη υλοποίηση για να μπορέσω να περάσω multicast πακέτα;;

[Moho]

Μήπως να έριχνες μια ματιά στο ZeroTier; Υποστηρίζεται natively στις σύγχρονες εκδόσεις του MikroTik, και νομίζω πως δεν χρειάζεται καν να το συνδυάσεις με ΕοΙΡ tunnel. Δεν έχω δοκιμάσει ιδιοχείρως, αλλά διαβάζω πως το έχουνε φτιάξει και δεν έχει πρόβλημα με το multicast.

[ditheo]

Το zerotier υποστηρίζεται μόνο από arm και arm64 επεξεργαστές, αν θυμάμαι καλά, όπως επίσης απαιτεί να είναι ανοιχτή η πόρτα 9993 ανοιχτή σε όλες τις πλευρές. Σε διάφορα σημεία τα routers είναι cg-nat και δεν μπορεί να αλλάξει αυτό.

Θα το δω ξανά μήπως έχει αλλάξει κάτι

[Nikiforos]

Το zerotier υποστηρίζεται μόνο από arm και arm64 επεξεργαστές, αν θυμάμαι καλά, όπως επίσης απαιτεί να είναι ανοιχτή η πόρτα 9993 ανοιχτή σε όλες τις πλευρές. Σε διάφορα σημεία τα routers είναι cg-nat και δεν μπορεί να αλλάξει αυτό.

Θα το δω ξανά μήπως έχει αλλάξει κάτι

Μπορεις να ξεπερασεις το cg-nat με ssh reverse tunneling. Μαλλον ειναι μανουρα, δεν μου χρειαστηκε τελικα και δεν το εχω δοκιμασει και πρεπει το ενα ακρο να εχει public ip γραμμη με καποιο linux machine να τρεχει το ssh οπως και απο την αλλη πλευρα θελει κατι με Linux.
Σε ορισμενες περιπτωσεις αν βολευει ειναι καλη λυση. To αναφερω μηπως και βοηθαει καπου, εχω δει πολλους που βρηκαν λυση ετσι!