Więcej miejsc do posłuchania:
Wprowadzenie
Dziś opowiem o jednym z najczęstszych problemów, z jakimi spotykają się administratorzy sieci przy używaniu WireGuard i OSPF. Jeśli masz zdalne lokalizacje połączone tunelami VPN i napotykasz na problemy z komunikacją pomiędzy urządzeniami w tych lokalizacjach, ten artykuł jest dla Ciebie.
Pytanie od użytkownika
Zacznijmy od pytania, które otrzymałem od jednego z naszych czytelników:
“Mam jedną główną lokalizację i trzy dodatkowe lokalizacje zdalne. Łączę tunele site-to-site bezpośrednio pomiędzy lokalizacjami a moją główną lokalizacją. Wymieniam komunikację pomiędzy sieciami lokalnymi w każdej lokalizacji. Działa ruch pomiędzy adresami IP poszczególnych routerów, ale nie działa komunikacja pomiędzy komputerami, które są podłączone za routerami spiętymi tunelami. Co może być przyczyną?“
Diagnoza problemu
Ten objaw najczęściej wskazuje na problemy z routingiem. Jeśli pingujemy z jednego routera do drugiego, gdzie są zestawione tunele, router lokalny (do którego spinamy wszystkie tunele) ma informacje o tym, jakie sieci są za poszczególnymi routerami zdalnymi. Natomiast komputer w zdalnej lokalizacji nie posiada tej informacji – ma tylko trasę domyślną. Router brzegowy w tej zdalnej lokalizacji, który łączy się do centrali, musi mieć wpisaną odpowiednią informację routingową.
Rozwiązanie z użyciem OSPF
W poprzednich wpisach omawialiśmy, jak skonfigurować OSPF (Open Shortest Path First), dynamiczny protokół routingu, który automatycznie zarządza trasami w sieci. Każdy router w lokalizacji musi wiedzieć, jakie sieci są dostępne w poszczególnych zdalnych lokalizacjach za pośrednictwem centrali. Jeżeli te informacje routingowe nie będą właściwe, pakiety nie przejdą.
Najczęściej pakiety są kasowane w drodze powrotnej. Proces wygląda tak: pakiet z danej lokalizacji idzie do gateway’a, który wysyła go do zdalnej lokalizacji przez tunel. Centrala przekazuje go dalej, ale jeśli w drodze powrotnej informacje routingowe są niewłaściwe, pakiet nie wraca.
Sprawdzanie mapowania adresacji
Kolejnym krokiem jest sprawdzenie mapowania adresacji. Przy interfejsie WireGuardowym, do peer’a przypisana jest sieć lub maska. Jeśli przypiszemy pełną maskę, cały ruch idący do pira będzie pchany przez tunel. Jeśli jednak chcemy, aby ruch był kierowany według polityki (np. część ruchu przez jeden tunel, część przez inny), musimy odpowiednio skonfigurować interfejsy i peer’y.
Wielość interfejsów i polityka routingu
Możemy tworzyć wiele interfejsów dla WireGuarda albo tworzyć wiele peer’ów na jednym interfejsie. W zależności od wybranej opcji, musimy odpowiednio skonfigurować politykę routingu i opisy tuneli, aby routery wiedziały, gdzie wysyłać pakiety.
Podsumowanie
Rozwiązywanie problemów z routingiem w sieciach zdalnych przy użyciu WireGuard i OSPF wymaga szczegółowej analizy konfiguracji. Kluczowe jest sprawdzenie, czy informacje routingowe są poprawne oraz czy mapowanie adresacji jest właściwe. Jeśli masz problemy z komunikacją pomiędzy zdalnymi lokalizacjami, zacznij od weryfikacji tych elementów.
Jeżeli chcesz, abym w kolejnych wpisach szczegółowo omówił przykłady rozwiązywania problemów (troubleshooting), zostaw komentarz. Chętnie przygotujemy materiały oparte na realnych przypadkach zgłaszanych przez naszych czytelników.