WireGuard en PaloAlto komen niet met elkaar overeen. - Netwerken

Vraag

maandag 23 september 2024 10:26

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Ik heb een server dat ik remote beheer, deze draait proxmox en wat VM's
1 ervan is Win10Pro, deze gebruik ik om remote op te werken.

Voor sommige toepassingen is er een PaloAlto vpn nodig, deze werkt, maar...
Nu verbind in nog met de remote via Zerotier adres, en omdat ik alles zoveel in eigen beheer wil heb ik nu een Wireguard server opgezet, en deze werkt ook.

Maar als ik Wireguard actief zet op de remote, wil paloalto niet meer werken

Relevante software en hardware die ik gebruik
wireguard is in eigen beheer
paloalto is van klant en kan niks wijzigen
...

Wat ik al gevonden of geprobeerd heb
wireguard allowed ips ingesteld
...

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

Beste antwoord (via RedPas op 23-09-2024 12:05)

maandag 23 september 2024 11:48

Ryan800

Ik ga er vanuit dat de WireGuard-tunnel momenteel 0.0.0.0/0 in zijn AllowedIPs heeft staan en dus alles inclusief de GlobalProtect (PA VPN) tunnelt. Je kunt inderdaad het beste deze AllowedIPs wijzigen om enkel je interne netwerken over de tunnel te routeren. Dit gebruik ik zelf al tijden probleemloos.

Afbeeldingslocatie: https://tweakers.net/i/mYYLbpi8maDQKbyBNymgKnmALsw=/800x/filters:strip_exif()/f/image/1FsK76jJAfqr8rcglAXRzcfX.png?f=fotoalbum_large

Alle reacties

maandag 23 september 2024 10:45

Acties:

0 Henk 'm!

FredvZ

RedPas schreef op maandag 23 september 2024 @ 10:26:
Maar als ik Wireguard actief zet op de remote, wil paloalto niet meer werken

Wat is de remote in deze context?
De Windows 10 VM of de laptop/pc waar jij op zit te werken?

Spel en typfouten voorbehouden

maandag 23 september 2024 11:45

Acties:

0 Henk 'm!

RedPas

Topicstarter

De win10 VM is de remote.
Mijn laptop waar ik op werk verbind dan met RDP en Zerotier adres

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

maandag 23 september 2024 11:48

Acties:

Beste antwoord ✓
0 Henk 'm!

Ryan800

maandag 23 september 2024 12:05

Acties:

+1 Henk 'm!

RedPas

Topicstarter

Allowed ips had ik aangepast.

Subnet heb ik veranderd en ik heb beiden online nu.

was eerst x.x.x.x/24, .x.x.x.x/32, x.x.x.x/32
nu x.x.x.x/24 en x.x.x.x/16, x.x.x.x/16

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

maandag 23 september 2024 12:58

Acties:

0 Henk 'm!

RedPas

Topicstarter

terwijl topic nu toch is,
Bij de klant heb ik Ip cameras in het netwerk, hoe bereik ik deze dan met Wireguard?
Route instellen?
Kben effe draadje kwijt

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

maandag 23 september 2024 13:07

Acties:

0 Henk 'm!

lier

MikroTik nerd

Route aan jouw kant instellen. De IP range van de camera's moet uiteraard bereikbaar gemaakt worden.

Eerst het probleem, dan de oplossing

maandag 23 september 2024 13:52

Acties:

0 Henk 'm!

RedPas

Topicstarter

Mijn kant? Dus in de wireguard server?
Zoiets?
# ip route add <ip cam>/1 dev wg0

Afbeeldingslocatie: https://tweakers.net/i/POA_ZOREavmWnMvkOtHEsB9mApg=/800x/filters:strip_exif()/f/image/u7lKFritJc68F4WPK62C6fyy.png?f=fotoalbum_large

[ Voor 67% gewijzigd door RedPas op 23-09-2024 14:26 ]

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

maandag 23 september 2024 14:56

Acties:

0 Henk 'm!

lier

MikroTik nerd

Als je op de laptop een Wireguard client draait, moet je hier eventueel de toegestane IP adressen 10.100.101.0/24 meegeven (als je niet alles over de wireguard routeert). Daarnaast moet "de server" weten waar de 10.100.101.0/24 range zit, hiervoor moet een route toegevoegd worden.

Hoe staat het nu ingesteld?

Eerst het probleem, dan de oplossing

maandag 23 september 2024 15:19

Acties:

0 Henk 'm!

RedPas

Topicstarter

Afbeeldingslocatie: https://tweakers.net/i/vO5MWDsqZH6AsrmA3xcTDau_Q3A=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/CcQ62NGpe5WQbJqYZ2fhQowy.png?f=user_large

server:
[Interface]
Address = 176.176.176.1/24
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51821
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

[Peer]
#Forza
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 176.176.176.2
PersistentKeepalive=25

[Peer]
#smartpi
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 176.176.176.102
PersistentKeepalive=25

[Peer]
#teltmarq
PublicKey =xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 176.176.176.103
PersistentKeepalive=25

[Peer]
#starwars
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 176.176.176.4
PersistentKeepalive=25

[Peer]
#billy
PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
AllowedIPs = 176.176.176.5
PersistentKeepalive=25

Afbeeldingslocatie: https://tweakers.net/i/Y0dMPLI_OqJer3SJyVX4163Sh-o=/800x/filters:strip_exif()/f/image/9DIKZLydtqRDu4mFLtelxXuK.png?f=fotoalbum_large

De smartpi naar influx verbinding via wireguard werkt al.

[ Voor 14% gewijzigd door RedPas op 23-09-2024 15:38 ]

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

vrijdag 27 september 2024 09:23

Acties:

0 Henk 'm!

BHQ

Ehm.. die 176.176.176.x adressen zijn niet van jou vermoed ik zo maar. Die hoor je niet te gebruiken.

Kan de WireGuard server zelf wel bij de camera's komen?

vrijdag 27 september 2024 18:16

Acties:

0 Henk 'm!

RedPas

Topicstarter

Alles werkt al...
Wat is het probleem met 176.176.176... ?
Zie deze veel in VPN ranges...

Hikvision HCSA, Paxton, Siemens, Raspberry Pi

vrijdag 27 september 2024 19:56

Acties:

0 Henk 'm!

Ryan800

176.176.176.x zijn internet routeerbare adressen en niet bedoeld voor privé netwerken.

Het kan dus zijn dat je websites of applicaties die gebruik maken van deze adressen niet kunt bereiken.

Voor privé netwerken hebben we in IPv4 RFC 1918.

Wikipedia: RFC 1918

zaterdag 28 september 2024 14:56

Acties:

0 Henk 'm!

BHQ

RedPas schreef op vrijdag 27 september 2024 @ 18:16:
Alles werkt al...

Oh. Hoe heb je het opgelost?

Wat is het probleem met 176.176.176... ?
Zie deze veel in VPN ranges...

Die IP-range is toegekend aan een partij en in gebruik op het internet. Voor intern gebruik van IPv4 hoor je RFC1918 (private ranges) te gebruiken zoals eerder gelinkt. Zomaar een publieke IP range gebruiken is niet de bedoeling.

Het lijkt me sterk dat die range "veel" bij VPN's wordt gebruikt want dat zou een verkeerde configuratie zijn.

Pagina: 1

Reageer