<div dir="ltr"><div dir="ltr"></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">На ср, 28.08.2019 г. в 13:56 ч. Dimitar Vassilev <<a href="mailto:dimitar.vassilev@gmail.com" target="_blank">dimitar.vassilev@gmail.com</a>> написа:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"></div>Hi Kalin, <br><div class="gmail_quote"><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="auto">1. Disable the FW and test.</div></div></blockquote><div>Tried - disabling one fw shows wg traffic flowing.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="auto">2. Try ping from one router to the other using the configured public IP address</div><div dir="auto"><br></div></div></blockquote><div>That works as well with the default fw config on OpenWRT/LEDE/LibreCMC</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="auto"></div><div dir="auto">3. Ping the other using the WG IP address</div><div dir="auto"><br></div></div></blockquote><div>my problem is that ping between the WG IP addresses is not working. I see some PostUp and Postdown examples in the regular configurations like the ones below</div>PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o enp5s0 -j MASQUERADE<br><div>PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o enp5s0 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o enp5s0 -j MASQUERADE</div><div>In the LEDE/OpenWRT derivatives those are marked in the GUI with MASQUERADE and route allowed ips options, but still I'm getting stuck.  I moved my VPN network from /25 to another /24 and still was stuck.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="auto"></div><div dir="auto">If all runs them it is a routing problem left to solve...</div><div dir="auto"><br></div></div></blockquote><div>Agree. I'm a bit at loss which routing - the kernel one or the forwarding of packets. Will tear down and start from scratch with another test. </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="auto"></div><div dir="auto">Kalin.</div></div></blockquote></div></div></blockquote><div><br></div>Hello all,<div><br></div><div>Problem solved via a trivial solution - add my origin VPN endpoint IP into the list of AllowedIPs for the peer. Used <a href="https://forum.openwrt.org/t/solved-setup-wireguard-connecting-two-networks/4215" target="_blank">https://forum.openwrt.org/t/solved-setup-wireguard-connecting-two-networks/4215</a> to achieve this</div><div>At least in this setup I see the packets flowing in both directions - RX and TX</div><div>Ny next questions are:</div><div><ul><li> is this normal since I'm behind NAT or there are some OpenWRT /Wireguard specifics I'm missing? In the docs and examples I see examples with just peer IPs added</li><li>what should I do to make the flow to a private subnet in DMZ on site B from site A ?</li></ul>Thanks,<br></div><div>Dimitar </div></div>
</div>