Vpn over vpn

Dar de ce ai da drumul la Wireguard pe PC-ul de acasa daca ai deja endpoint router-ul care il deserveste la care te poti conecta cu PC-ul din afara retelei pt. ca ulterior sa poti initia sesiunea RDP intre PC-ul remote si PC-ul de acasa transportata in tunelul Wireguard ?
Ca workaround temporar pana deslusesti tabela de rutare  poti pune o masina virtuala in PC-ul de acasa din care sa lansezi VPN-ul Checkpoint pt. a vedea exact ce se intampla ar trebui sa simulezi conectandu-te cu laptop-ul la un hotspot cand esti acasa sa poti vedea pe PC-ul de acasa ce rute sunt impinse in mom in care se activeaza VPN-ul Checkpoint .
Si tunelul Wireguard de pe endpoint-ul distant daca nu ai nevoie sa treaca tot traficul prion el nu ar trebui sa ai la Allowed IPs 0.0.0.0/0 ci doar plaja de IP-uri  strict necesara accesari PC-ului de acasa .

Pentru ca w-guard-ul e activat tot timpul. Ca sa pot avea, in caz de ceva, remote desktop pe el cind nu sint acasa. Nu vreau sa-l tot pornesc/opresc, ca uit sa-l pornesc, si cind am mai mare nevoie de el constat ca nu e pornit.

Ori nu am inteles eu bine topologia retelei ori faci tu ceva inutil .
Ai acasa un PC (desktop) + router pe care ai instalat Wireguard (colocvial sa-i spunem "server" desi in topologia wireguard nu mai exista server/client ci doar endpoint-uri care se comporta ca ambele ) .
Cand esti plecat de acasa pt. a te conecta cu un device remote ( laptop ) pe PC-ul de acasa ( desktop ) via RDP initiezi atat de pe laptop cat si de pe desktop sesiune VPN wireguard cu endpoint-ul comun router-ul ?

Daca ce am scris mai sus reflecta realitatea atunci ai o problema cu rutele pe care le folosesti .
In primul rand nu ai nevoie de wireguard pe PC-ul de acasa ; este deja in LAN-ul gestionat de router deci ar trebui sa te poti conecta RDP la el doar cu sesiune wireguard intre laptop si router . Daca router-ul nu face automat rutarea intre cele 2 subnet-uri ( subnet LAN si subnet tunel Wireguard ) atunci ar trebui sa fie suficient sa adaugi tu rute manuale in router pt. directia LAN > Wireguard via adresa IP interna a router-ului ( ceva de genul 192.168.9.0 Mask 255.255.255.0 via 192.168.1.1 ) . Pt a vedea unde e problema poti lansa un traceroute de pe PC-ul remote (laptop) catre IP-ul PC-ului de acasa sa vezi unde se opreste rutarea .
Ar fi util sa postezi config-ul endpoint-urilor sa vedem ce rute allowed ai pus (evident iti cenzurezi chestiile personale precum cheile si hostname-ul).

adiharan, on 05 iulie 2023 - 14:11, said:

In cazul descris mai sus in afara de VPN-ul checkpoint restul accesului la internet functioneaza  pe PC-ul de acasa ?

@initiator
Pune pt inceput configuratia end-point-urilor wireguard.
screen shoot-uri pt windows (nu blura ip-urile din rfc1918!!) iar pt restul:
sudo wg show wg0
Sau cum se numeste interfata ta logica wireguard.

Edited by Ravy, 06 July 2023 - 11:52.

me_iauras, on 06 iulie 2023 - 08:38, said:

Trebuie instalat clientul w-guard si pe desktopul de acasa, altfel conexiunea spre internet trece prin server, dar necriptata. (g-way 192.168.1.1)
In momentul in care activez clientul de w-guard pe desktop, doar atunci conexiunea se face prin serverul w-guard, si numai atunci poate fi accesat remote. (g-way 192.168.9.1) Daca nu activez clientul de pe desktop, evident ca traficul se face "normal" prin ruter, prin interfata 192.168.1.1. Si doar n-o sa forwardez portul 3389 spre internet, necriptat.
Asta e motivul pentru care las tot timpul activat clientul de w-guard pe desktop, deci tot traficul, practic, imi trece intotdeauna prin w-guard. Ca oricind sa-l pot trezi si sa preiau controlul.

Eu nu vad ce legatura are cu rutele. Practic, atunci cind am activat clientul w-guard, am g-way local 192.168.9.1, NAT spre adresa reala 86... /24. Deci practic am o singura interfata, 192.168.9.1/24.

Edited by Ravy, 07 July 2023 - 00:42.

adiharan, on 06 iulie 2023 - 16:17, said:

Evident, ca altfel ti-ar merge

Ti-a explicat mai sus @me_iauras cum trebuie facut dar tu tot insisti cu texte prea lungi

Dar, si asa e prea cald afara, hai sa-ncerc si eu, poate-poate te prinzi:

premise obligatorii:
a) calculatorul unde e instalat vpn-ul de la Customs il lasi in pace!!
b) reteaua ta locala are ca subnet 192.168.0.0/24 si cu router 192.168.0.1/24

mai departe
1. "server" wireguard pe router: ip "server" 10.10.1.1/24  si ip client 10.10.1.10/32 (observi diferenta de ip-uri si mai ales de mask da?)
2. de pe laptop-ul remote, faci o conexiune wg unde treci ca ip la wireguard 10.10.1.10/32 iar ca si allowed ips DOAR SUBNETUL DE ACASA, subnet in care e si calculatorul cu vpn-ul de Customs instalat, adica, conform exemplului, o sa ai allowed ips: 192.168.0.0/24 iar in plus iti trebuie route-allowed-ips false (asta sa nu plimbi internetul aiurea prin n device-uri).
3. o sa-ti mai trebuiasca si un persistent keepalive, pune-l la 15sec.
4. mai departe, te contectezi remote la "serverul de wireguard'(vezi sa pui ip-ul public si portul setat)
5. faci remote-deskop si la computer name treci ip local al calculatorului de acasa, ala cu 192.

PS
vezi sa ai subnet-uri diferite in cele 2 locatii.

Edited by Ravy, 07 July 2023 - 00:44.