Prawdopodobnie router ma blad w ustawieniach firewalla jesli chodzi o UDP.

dokumentacja tailscale: https://tailscale.com/kb/1257/connection-types

Blocked UDP packets

Tailscale can only establish direct connections if the device supports sending and receiving UDP packets. If a device can only use TCP connections, all connections go through the DERP relay servers. For the DERP links, Tailscale encapsulates the WireGuard frames in a TLS stream over TCP.

Devices can't establish a direct connection if something on the network blocks direct UDP connections. However, you can still use a relayed connection. The only remediation is to ask your provider to unblock UDP packets.

potwierdza to moje przypuszczenie co do firewalla jako ze tailscale nie byl w stanie polaczyc sie "direct" (korzystajac z udp)

wedlog relacji innych tailscale byl w stnaie polaczyc sie direct nawet za cgnatem bez otworych portow UDP (co ja musialem zrobic zeby handshake wgl przebiegl)

Nie używam Funboxa więc nie mam doświadczenia, ale już może nie męcz się i przerzuć się na zerotier. Co do WG to jest duże pole do popisu, że masz coś nie tak w configu...  Poza tym WG i tilecale   na tej samej maszynie może powodować konflikty z routingiem i trzeba robić routing statyczy. 

Odzielnie konfigurowalem wireguarda i tailscale wiec to nie jest problemem.

Z wireguarda korzystalem z gotowych konfigow jak wg-easy i linuxserver wireguard i pare innych i wszystkie mnie zawiodly (pisalem na forach poszczegolnych grup i nikt tez nie byl w stanie stwierdzic problemu, ostatecznie ktos zasugerowal opcje z firewallem routera)

Nie jestem pewny czym jest zerotier. Jesli chodzi o tailscale to miala byc to ta prostrza opcja ktora miala po prostu dzialac. Czemu myslisz ze zerotier zadziala jesli mam problemy jakie mam.

Bo tilecale działa na L3 i w sumie to WG. Zerotier działa na L2. Zerotier jest również darmowy do 25 urządzeń.  Jest wspierany przez więcej systemów i jest po prostu niezawodny.

---

@yarowisnienapisał(-a)

Ustawiłem przekierowanie portów UDP itp z wireguardem jednak pomimo poprawnego handshake nie mogłem połaczyć sie z internetem / tunel nie dziala poprawnie.

---

Ustawiłeś NATowanie na maszynie gdzie został zainstalowany WG?

Pokaże konfiguracja tailscale. Najmniej jest tu do konfigurowania wiec najłatwiej powinno byc znależć problem.

Server dns na LANie (domowy server 192.168.1.86) ma przekierowanie mojej publicznej domeny na prywatny adres IP.

Ustawienia w funboxie

 tailscale chcial UPnP zeby dodac UDP forwarding bo inaczej nie moze sie polaczyc "direct" tylko korzysta z relayow ktore sa tak wolne ze nie uzywalne.

W tailscale. spearhead to server (192.168.1.86). Ma ustawiony subnet router --advertise-routers=192.168.1.0/24

I w tailscale dns ustawiony na ten domowy server.

```
pong from nordce2 (100.93.224.112) via <<IP>>:19412 in 27ms
```

Urzadzenie jest widoczne i moje je pingnac ale nie jestem w stanie ani wejsc na strone ani polaczyc sie z samba po adresie 192.168.1.86

Wiem czym jest NAT i hole punching ale nie jestem pewny za masz na mysli za terminem NATowanie.

Moglbys wytlumaczyc co masz na mysli?

Wczesniej kiedy czytalem instruckje linuxserver do wireguarda: https://github.com/linuxserver/docker-wireguard

Road warriors, roaming and returning home
If you plan to use Wireguard both remotely and locally, say on your mobile phone, you will need to consider routing. Most firewalls will not route ports forwarded on your WAN interface correctly to the LAN out of the box. This means that when you return home, even though you can see the Wireguard server, the return packets will probably get lost.

This is not a Wireguard specific issue and the two generally accepted solutions are NAT reflection (setting your edge router/firewall up in such a way as it translates internal packets correctly) or split horizon DNS (setting your internal DNS to return the private rather than public IP when connecting locally).

Both of these approaches have positives and negatives however their setup is out of scope for this document as everyone's network layout and equipment will be different.

Zbytnio nie zalezy mi na tym zeby korzystac z VPN na sieci lokalnej ale opisany problem jest dokladnie taki sam jaki mam. To znaczy urzadzenie jest widoczne to nic nie moge z nim zrobic.

Split horizon dns to chyba mam ustawiony jak pokazalem powyzej. A co do NAT reflection to nie mam pojecia czy da sie to zrobic na funboxie. Bylbym wdzieczny gdyby ktos mogl mnie nakierowac.

Przepraszam ze nie pokazalem calej konfiguracji wczesniej i zmarnowalem wasz czas.

@yarowisnie Pytałem czy ruch od zewnętrznych klientów podłączonych do serwera WG wychodzi do Internetu (czy też do sieci lokalnej) z adresem sieci WG czy z adresem urządzenia na którym jest zainstalowany serwer.

Technicznie rzecz biorąc żaden z tych adresów. Ale zakładając konteneryzowanego klienta WireGuard, adresem źródłowym widocznym na wewnętrznym interfejsie routera będzie brama sieci Docker hosta, na którym działa WireGuard.