• Zarejestrowany: 2017-09-14
  • Posty: 65

Temat: Łączenie sieci LAN wireguard

Mam trochę niestandardową konfigurację tj:

sieć 10.20.92.0/24, w niej jest serwer WG na raspberry pi 4, routerem w tej sieci jest OpenWRT o adresie 10.20.92.1
sieć 10.21.92.0/24 -sieć kliencka, za routerem OpenWRT o adresie 10.21.92.1

Adresacja tunelu VPN - 10.19.92.0/24, gdzie serwer to 10.19.92.1, a klient to 10.19.92.10

Chciałbym aby te dwie sieci były widoczne dla siebie nawzajem.
Będąc w sieci klienckiej jestem w stanie osiągnąć dowolną maszynę w sieci serwerowej, ale w drugą stronę jestem w stanie jedynie osiągnąć router, ale nic poza nim.
Zakładam więc, że problemem jest tylko i wyłącznie firewall w sieci klienckiej.

Mam pododawane tablice przekierowań, bo jeżeli odnoszę się do innej sieci, to po drodze ruch przechodzi przez tunel VPN (czyli tak jak ma być).

Proszę o pomoc w rozwiązaniu problemu. Wklejam konfiguracje firewalla oraz sieci na routerze klienckim:

cat /etc/config/network

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd02:f46f:9733::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        list dns '208.67.222.222'
        list dns '208.67.220.220'
        option ipaddr '10.21.92.1'

config device 'lan_dev'
        option name 'eth0.1'
        option macaddr '20:76:93:4a:61:cf'

config interface 'wan'
        option ifname 'eth0.2'
        option proto 'dhcp'

config device 'wan_dev'
        option name 'eth0.2'
        option macaddr '20:76:93:4a:61:d0'

config interface 'wan6'
        option ifname 'eth0.2'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '4 6t'

config wireguard_wg0
        option public_key 'KLUCZ'
        option route_allowed_ips '1'
        option endpoint_host 'SERWER.ddns.net'
        option endpoint_port '55066'
        option persistent_keepalive '25'
        option description 'openwrt'
        list allowed_ips '10.19.92.0/24'
        list allowed_ips '10.20.92.0/24'

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'KLUCZ'
        list addresses '10.19.92.10/32'
cat /etc/config/firewall

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option mtu_fix '1'
        option masq '1'
        option input 'REJECT'
        option forward 'REJECT'
        option network 'wan wan6'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config zone
        option name 'wireguard'
        option input 'ACCEPT'
        option network 'wg0'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config forwarding
        option dest 'wireguard'
        option src 'lan'

config forwarding
        option dest 'lan'
        option src 'wireguard'

config forwarding
        option dest 'wireguard'
        option src 'wan'

config forwarding
        option dest 'wan'
        option src 'wireguard'

2 Odpowiedź przez Krukosz

  • Zarejestrowany: 2017-09-14
  • Posty: 65

Odp: Łączenie sieci LAN wireguard

Pomogło włączenie dnsmasq. Wszystko działa

3 Odpowiedź przez gonzales (edytowany przez gonzales 2021-11-30 19:40:31)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

W związku z tym, że moja sztuka R6220 na łączu pppoe potrafiła się wyłożyć i nie było internetu to teraz stoi za routerem bez openwrt. W chwili obecnej "robi" jako router (serwer wireguard) więc na nadrzędnym tplinku porty przekierowane i VPN działa. Jednak dwa NAT-y w sieci zaczynają mi ciążyć i chcę to spiąć w jeną sieć LAN.
I teraz jak to najlepiej ogarnąć? Chodzi mi o to jak zmienić ustawienia, żeby VPN działał jeżeli R6220 będzie klientem nadrzędnego tplinka bez openwrt?
Czy w takim wypadki ma zastosowanie routing statyczny czy jak taka konfiguracja ma działać?
Czy da się uruchomić wireguard jeżeli router będący serwerem nie będzie robił routingu?

Sądząc po powyższym wpisie kolegi @Krukosz musi to działać ale proszę o wskazówki.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

Robisz po prostu masquaradę na lanie. I to wszystko w sumie, tak samo robi się np. dla openvpn w trybie tun.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Kolejne trudne słowo. big_smile Zakładam, że ta  maskarada (cokolwiek to jest) robię na R6220?

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

Robisz na hoście który jest w lanie (nie jest gatewaym) i na którym jest "serwer" wireguard.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Czyli w moim  przypadku na  R6220 w tej chwili - a w przyszłosci może RPi albo jeszcze inny sprzęt. Dzięki. Idę zdobywać  nowe wiadomosci.

8 Odpowiedź przez gonzales (edytowany przez gonzales 2021-12-01 18:15:07)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Na chwilę obecną czytam, oglądam ale raczej bez zrozumienia.
Czyli usuwam interfejs WAN (łącze go na switch-u z LAN-em) a na LAN-ie ustawiam stały adres ip zgodnie z tym co przydziela router nadrzędny (ten bez openwrt, robiący NAT-a) i potem ustawiam firewall?

9 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

Robisz zwykłego AP, tak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

10 Odpowiedź przez gonzales (edytowany przez gonzales 2021-12-01 19:06:44)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

W sumie to nie koniecznie. Za routerem operatora jest tplink z softem fabrycznym i wifi w ax 192.168.1.1
R 6220 wpięty za routerem nadrzędnym i ustawiony interfejs LAN statycznie na 192.168.6.1 i tutaj serwer wireguard jest uruchomiony (podłączony poprzez swój WAN).
Żeby nie mieć dwóch adresacji w sieci lokalnej chcę żeby R6220 miał adres z zakresu tplinka (wi-fi z niego wyłączone może być) i nie robił natowania, chyba że musi tak być ale wątpię.

11 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

Więc nie robisz natowania tylko zwykłego AP. Przecież o tym właśnie piszesz, więc co wg ciebie nie jest konieczne? Cały czas przecież pisałeś ze w lanie jesteś.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

12 Odpowiedź przez gonzales (edytowany przez gonzales 2021-12-01 19:12:10)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

No niby tak, wtedy to będzie zwykły AP. W takim razie doczytam o konfiguracji openwrt w takim trybie.
Czyli na pewno muszę zmienić config network i firewall, czy jeszcze jakiś plik muszę przeedytować, żeby tą maskaradę zrobić?

13 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

W firewallu dodać option masq  1 w sekcji lan, to wszystko.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

14 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

No dobra, w końcu przełączyłem router będący serwerem wireguard w tryb "głupiego" AP - w nawiązaniu do koncepcji z postu nr 10.
Ogólnie dotychczasowe testy wykazały, że WG działa ale nie mam teraz dostępu do serwera WG będąc w sieci lan (razem z serwerem) i klientami spiętymi po VPN (wcześniej oczywiście działało).
Natomiast z zewnątrz poprzez VPN mogę się dostać do tych lokalizacji, które są niedostępne z lanu serwera.
Zakładałem, że to allowed ip ale to chyba nie to.

Co sprawdzić, dodać, usunąć?

15 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

Np firewall i forwarding pomiedzy wg a lanem. Dużo rzeczy może być przyczyną. Weź tcpdumpa i zobacz sobie gdzie giną pakiety.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

16 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Ale router z wg mial ustawiony ruch między lan a wg. Z tym że teraz wan nie jest używany bo wpięte jest R6220 przez lan z nadrzędnym routerem.

17 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,913

Odp: Łączenie sieci LAN wireguard

Dlatego napisałem żebyś sobie sprawdził gdzie giną pakiety.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

18 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

gonzales napisał/a:

Ale router z wg mial ustawiony ruch między lan a wg. Z tym że teraz wan nie jest używany bo wpięte jest R6220 przez lan z nadrzędnym routerem.

Moja opinia:
dowolny host w sieci LAN ma adres z sieci LAN oraz routing na adres IP Gateway-a (na pozostałe inne adresy spoza sieci LAN).
IP Gateway-a dla hostów z LAN to jak sądzę główny router operatora.
Dlatego wszystkie hosty jak już mają coś wysłać do sieci WG (a to nie jest ich sieć LAN) to pchają pakiety na główny router - czyli swój Gateway.

Jeżeli Gateway (serwer DHCP) nie ma wpisanej dodatkowej trasy do sieci WG poprzez hosta "R6220" to jest bardzo zdziwiony, że to idzie do niego i albo porzuca pakiety albo wysyła do operatora ISP smile (a tamten jest podwójnie zdziwiony big_smile )

Inne rozwiązanie:
Pozostaje Ci na klientach ręcznie ustawić routing do sieci WG poprzez hosta "R6220"

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

19 Odpowiedź przez gonzales (edytowany przez gonzales 2022-01-08 13:13:19)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

mar_w napisał/a:

Inne rozwiązanie:
Pozostaje Ci na klientach ręcznie ustawić routing do sieci WG poprzez hosta "R6220"

Nie wiem czy się precyzyjnie wyraziłem. Od strony klientów WG (z zewnątrz) dostaję się do sieci LAN w której jest serwer - zarówno na sam serwer (interfejs webowy R6220) jak i do innych klientów WG w innych zdalnych lokalizacjach.

Natomiast będąc w LAN nie jest to możliwe. Router gateway jest sprzętem bez openwrt.

Będę drążył temat.

20 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

I nikt Ci nie odpowie bo nie chcesz zrozumieć tematu.

1. Klienci WG mają adres sieci WG i mogą się komunikować po tych adresach miedzy sobą. Bo mają routing i wiedzą gdzie pchać pakiety do sieci WG

2. To że router odpowiada po adresie WEBowym LANu to też jest oczywiste, ponieważ on jest serwerem WG i ma u siebie trasę do WG i wie jak odpowiedzieć na zapytania które przychodzą z sieci WG

3. Zwykły klient w sieci LAN ma trasę do sieci LAN i domyślną trasę na router operatora.
Dostaje zapytania z sieci WG i odsyła odpowiedź do głównego routera. Bo gdzie ma wysłać skoro nie wie, że jakiś host obsługuje sieć WG. Główny router też nie wie gdzie zrobić Forward a więc zapewne pcha do ISP.

Jak nie wierzysz to zapytaj Billa Gatesa wink

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

21 Odpowiedź przez gonzales

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

@mar_w a bierzesz pod uwagę, że nie tyle nie chcę co nie potrafię tego zrozumieć, ponieważ jestem zbyt "ciemny" w te klocki? big_smile

Nie wiem co się porobiło bo zmieniałem różne rzeczy w tak zwanym międzyczasie a skończyło się na resecie fabrycznym routera gateway'a.

Teraz mogę już dostać się do hosta robiącego za serwer WG (jest w trybie AP). Podłączony jest z bramą poprzez LAN.
Co mam pozmieniać w ustawieniach firewall'a, żeby dostawać się do klientów WG?

config rule
    option target 'ACCEPT'
    option proto 'udp'
    option dest_port '55055'
    option name 'wireguard'
    option src 'lan'
    option src_port '55055'

config zone
    option name 'wg'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option output 'ACCEPT'
    option masq '1'
    option network 'wg0'

config forwarding
    option src 'wg'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'wg'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'
    option masq '1'

22 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

gonzales napisał/a:

@mar_w a bierzesz pod uwagę, że nie tyle nie chcę co nie potrafię tego zrozumieć, ponieważ jestem zbyt "ciemny" w te klocki? big_smile

ja tego nie powiedziałem i wcale tak nie uważam. Nadal uważam, że potrafisz ale nie chcesz smile

gonzales napisał/a:
mar_w napisał/a:

Inne rozwiązanie:
Pozostaje Ci na klientach ręcznie ustawić routing do sieci WG poprzez hosta "R6220"

Nie wiem czy się precyzyjnie wyraziłem. 1. Od strony klientów WG (z zewnątrz) dostaję się do sieci LAN w której jest serwer - zarówno na sam serwer (interfejs webowy R6220) 2. jak i do innych klientów WG w innych zdalnych lokalizacjach.

Natomiast będąc w LAN nie jest to możliwe. Router gateway jest sprzętem bez openwrt.

Będę drążył temat.

Na spokojnie po kolei wg numeracji.
1. Od klientów WG przychodzi sobie pakiet na serwer WG. Pytasz o adres LAN-owy tego serwera (R6220).
On mając u siebie trasę do sieci WG odpowie tym klientom z sieci WG. Bo ma trasę. Hurrra smile
2. To, że z jednego klienta WG dostajesz się do innych klientów WG to jest raczej oczywiste. Czyli dobrze. Znowu sukces. Hurrra smile

gonzales napisał/a:

Teraz mogę już dostać się do hosta robiącego za serwer WG (jest w trybie AP). Podłączony jest z bramą poprzez LAN.
3. Co mam pozmieniać w ustawieniach firewall'a, żeby dostawać się do klientów WG?
...config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'
   4. option masq '1'

4. Zrobiłeś maskaradę w strefie lan i to jest dobrze! (brawo TY) bo klient z zewnątrz z adresem WG wchodzi najpierw na serwer a ten podmienia adres WG na swój adres w sieci LAN i wysyła pakiet do innego Hosta B w sieci LAN.
Host B w sieci LAN odbiera ZAMASKOWANY pakiet od kumpla (serwera WG) z tej samej sieci LAN i jemu odpowiada, bo "owieczki" są z jednej zagrody i ma do niego trasę.

3. Na tym serwerze WG który jest hostem w sieci LAN nic już masz nie zmieniać. Napisałem Ci że musisz:
a) na routerze głównym od dostawcy wpisać statyczną trasę do sieci WG poprzez hosta którym jest serwer WG lub
b) na każdym kliencie wpisać trasę do sieci WG poprzez adres LAN serwera WG.

Sytuacja się zmienia gdy Host B chce nawiązać jako pierwszy połączenie z klientem WG.
Host B Będąc w sieci LAN ma tylko trasę do adresów LAN oraz do INNYCH IP poprzez Gateway.
Chcąc wysłać pakiet do sieci WG (a to jest inna pula niż LAN) wysyła go na główną Bramę licząc na cud.
Jak brama nie ma trasy do WG przez hosta w LAN (serwera WG) to śle do ISP.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

23 Odpowiedź przez mar_w (edytowany przez mar_w 2022-01-08 17:21:32)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

W routerach Tp-linka w OFW to się dodaje trasy statyczne w "Zaawansowanym big_smile routingu"
PS. Cezary, wiem że nie o tym jest to forum, ale chciałem żeby @gonzales odszukał podobną opcję u Siebie. Musi jakoś to pożenić.
https://i.ibb.co/5TRFsTf/Zaznaczenie-018.png

A jak nie masz dostępu do Menu lub wcale nie ma podobnej opcji to zrób punkt 3. b) chociaż na jednym z klientów LAN i atakuj klienta WG po jego adresie WG smile

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

24 Odpowiedź przez gonzales (edytowany przez gonzales 2022-01-08 18:46:29)

  • Zarejestrowany: 2011-02-28
  • Posty: 455

Odp: Łączenie sieci LAN wireguard

Chyba będę walczył z punktem 3. b)
Bo mimo, iż mam dostęp do gatewaya to jak zrobiłem routing statyczny to "wywaliłem" całą konfigurację w kosmos ( i to już drugi raz) i trzeba było od zera wszystko ustawiać w routerze, który jest wyjściem na świat dla pozostałych domowników.

A do dalszych eksperymentów z WG wrócę jak odzyskam jakąkolwiek komunikację z R6220 bo tak coś pozmieniałem, że nie wiem czy nie skończy się na firstboot.

Za wszelkie dotychczasowe wskazówki dziękuję.

mar_w napisał/a:

3. Na tym serwerze WG który jest hostem w sieci LAN nic już masz nie zmieniać. Napisałem Ci że musisz:
a) na routerze głównym od dostawcy wpisać statyczną trasę do sieci WG poprzez hosta którym jest serwer WG lub
b) na każdym kliencie wpisać trasę do sieci WG poprzez adres LAN serwera WG.

Czy klient z powyższego cytatu to klient WG (router w zdalnej lokalizacji) czy klient LAN w tej samej sieci co serwer WG?

25 Odpowiedź przez mar_w (edytowany przez mar_w 2022-01-08 19:52:53)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Łączenie sieci LAN wireguard

gonzales napisał/a:

...Bo mimo, iż mam dostęp do gatewaya to jak zrobiłem routing statyczny to "wywaliłem" całą konfigurację w kosmos ( i to już drugi raz) i trzeba było od zera wszystko ustawiać w routerze, który jest wyjściem na świat dla pozostałych domowników....

to jest możliwe gdy np. sieć WG wziąłeś sobie np. 8.8.8.0/24 i chciałeś pchać zapytania do 8.8.8.8 przez hosta 192.168.1.47 a on to wrzucał do tunelu i nie było Internetu bo nikt nie rozwiązał nazwy DNS smile
Niektórzy uwielbiają takie sztuczki myśląc że mają "Googla" w kieszeni z potem płacz że Openwrt nie działa, Zerotier nie działa itp itd....

ja pisałem o klientach w sieci LAN którzy chcieliby dostać się do klientów WG. zgodnie z zachcianką:

gonzales napisał/a:

Natomiast z zewnątrz poprzez VPN mogę się dostać do tych lokalizacji, które są niedostępne z lanu serwera.

...Co mam pozmieniać w ustawieniach firewall'a, żeby dostawać się do klientów WG?

Założyłem że chcesz się dostać od strony klientów LAN do klientów WG .
Nie odwrotnie, bo to zadziała ze względu ma maskaradę na serwerze WG.
Liczy się kto pierwszy nawiązuje komunikację i z której strony przychodzi i gdzie ma iść.
Klient o adresie 192.168.1.192/24 chce się dostać do klienta WG o adresie 10.8.0.5/24.
Zwykły klient w LAN i jego routing:

# ip r
default via 192.168.1.1 dev br-lan  src 192.168.1.194 
192.168.1.0/24 dev br-lan scope link  src 192.168.1.194

gdy chce jako pierwszy nawiązać połączenie do sieci WG o adresie 10.8.0.0/24 to ma jedyną możliwość pchać taki pakiet na bramę o adresie 192.168.1.1. Jak brama nic nie wie o tej sieci to kończy się zabawa.

dlatego na kliencie możesz dodać trasę żeby wychodził do WG przez jednego z "kolegów" z LAN (serwer WG). Adres kolegi po LAN umie odnaleźć bo ma routing. Wtedy będzie to wyglądać np. tak:

# ip r
default via 192.168.1.1 dev br-lan  src 192.168.1.194 
10.8.0.0/24 via 192.168.1.50 dev br-lan 
192.168.1.0/24 dev br-lan scope link  src 192.168.1.194

PS1. Jak zrobisz/ustawisz główny router dla domowników to zapisz konfigurację do pliku i potem w razie "W" przywróć tą konfigurację bez ponownych żmudnych ustawień przez wszystkie menu.

PS2. W R6220 możesz użyć trybu failsafe i lekko coś poprawić ale z tego co widać to było dobrze.

PS3. Wejdź na dowolnego klienta w sieci LAN (oprócz serwera WG) i zobacz jaki ma routing i do jakich sieci się odnosi.

PS4. Jeżeli w innej lokalizacji masz inną sieć np LAN2 i w niej jest klient WG który jest zwykłym hostem w sieci LAN2 to na innych hostach w sieci LAN2 też wpisz trasę do WG ale tym razem przez adres IP LAN2 klienta WG, skoro też nie możesz wpisać trasy na głównym routerze.

PS5. WG musi być dobrze skonfigurowany żeby wiedział gdzie są sieci LAN, LAN2 i puszczał do nich ruch.

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *