Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → wireguard - pulpit zdalny windows
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Co jest konieczne jeszcze do skonfigurowania po zestawieniu połączenia wireguard między dwoma routerami, żeby można było skorzystać z pulpitu zdalnego windows?
Otwarcie/przekierowanie portów w routerach czy tylko konfiguracja firewalla po stronie serwera windows?
Firewall to oczywistość, ale ... nic. Jak zrobiłeś dostęp do sieci lan to powinienieś mieć i dostęp do RDP.
W sensie, że przy prawidłowo skonfigurowanym wireguard z dostępem do sieci lan powinno to diałać bez ustawienia reguł w firewall?
I czy dostęp wan-wg-lan w firewall'u powinien też skonfigurowany równieżna kliencie wireguard?
Pytanie z rodzaju dziwnych 
Jak łączysz się komputerem z lanu routera - klienta to oczywiście musisz skonfigurować też żeby wireguard na routerze - kliencie miał dostęp do lanu z którego komputer korzysta...
Nie jestem w tym biegły a teraz to jeszcze się tak zakręciłem, że wstyd.
Co ciekawe rotutery się pingują wzajemnie i po wg i po lan a nie mogę wejść zdalnie do luci routera serwera. Klient to leciwy 1043 więc bez luci.
Jeżeli serwer to 192.168.1.1 to taki adres dodaje w konfigu wg klienta w option allowed_ips?
Żadnego. Zrób strefę wireguard z masq na firewallu i zezwól na forwarding wireguard<>lan.
Ostatnio przerabiałem temat z Wireguard i połączeniem do pulpitów zdalnych gdzie dozwolony dostęp jest tylko z konkretnego IP.
Zaszła potrzeba pracy zdalnej. Wireguard jest pod tym względem pięknym rozwiązaniem.
Mając serwer wg na routerze w lokalizacji z której jest dostęp dozwolony. Konfigurujemy klientów z wpisanym adresem pulpitu zdalnego w allowedIPs i to wystarczy. Oczywiście chodzi mi o to gdy pulpit jest na adresie publicznym na WANie.
Komputer do którego chcę się okazjonalnie dostać jest na adresie publicznym na wanie - tutaj jest też serwer wireguard.
Mógłbyś pokazać jak powinien wyglądać konfig wg?
Mam dopisać w allowed_ips IP kompa do którego się chcę dostać?
Teoretycznie cały lan mam w allowed_ips, więc jego ip się przecież w tym zawiera.
list allowed_ips '192.168.6.0/24'
U mnie jest inna sytuacja. Zdalne komputery są dostępne na adresie publicznym, ale mogą się z nimi łączyć tylko konkretne publiczne IP. Przez co nie można pracować zdalnie gdzie indziej. Wiec Wireguard robi tunel między klientem (laptop) zdalny) a serwerem ( router z publicznym IP, z którego jest dozwolone połączenie RDP) w allowedIPs jest jedynie publiczny IP serwera RDP.
Ty jeśli chcesz się dostać z zewnątrz i masz jego sieć w allowedIPs to powinieneś móc go pingować po adresie LAN poprzez tunel.
Jeśli nie możesz , a tunel jest zestawiony, to zapewne nie masz ustawionych forwardingow w firewallu.
Czyli u Ciebie jest zainstalowany i skonfigurowany wireguard na laptopie z dopisanym w allowe_ips IP routera serwera wg, natomiast nie masz routera jako klienta wg po stronie zdalnej - laptopa (tutaj nie masz stałego IP)?
A co do przekierowań w firewallu to dadalem regułę i mogę pingować kompa do którego chce się dostać, jednak połączenie RDC się nie zestawia. Routery z openwrt po obu stronach stoją za routerami bez openwrt aczkolwiek skoro mogę pingować wzajemnie obie sieci LAN to przekierowanie na nich jest raczej ustawione OK.
EDIT:
Wymiękam. Cezary wyniki jakich poleceń mam pokazać, żeby wyłapać co jest w tych konfigach nie tak?
firewail po stronie routera klienta wg
config rule
option src 'wan'
option target 'ACCEPT'
option proto 'udp'
option dest_port '55055'
option name 'wireguard'
config zone
option name 'wg'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option masq '1'
option network 'wg0'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'wan'
option dest 'wg'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wg'firewall po stronie serwera wg
config rule
option src 'wan'
option target 'ACCEPT'
option proto 'udp'
option dest_port '55055'
option name 'wireguard'
config zone
option name 'wg'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option masq '1'
option network 'wg0'
config forwarding
option src 'wg'
option dest 'wan'
config forwarding
option src 'wan'
option dest 'wg'
config forwarding
option src 'wg'
option dest 'lan'
config forwarding
option src 'lan'
option dest 'wg'
config redirect
option name 'mstcs'
option src 'wan'
option proto 'tcp'
option src_dport '3389'
option dest_port '3389'
option dest_ip '192.168.6.101'192.168.6.101 to ip do którego chce się dostać z zewnątrz.
Po co przekierowujesz port RDP do WANu?
Wywal to przekierowanie. Przecież chcesz się połączyć przez tunel, a nie przez WAN.
Co do mojej konfiguracji, to tak - mam końcówki z Wireguard na laptopach, ale nie mam w allowedIPs IP serwera, bo nie jest potrzebny dostęp do jego sieci LAN. IP serwera Wireguard jest tylko w sekcji endpoint, a w allowedIPs jest tylko adres zewnętrzny komputera z udostępnionym pulpitem.
Czyli tunel działa tylko i wyłącznie do tego IP z pulpitem. Nie daje dostępu ani do routera, ani do sieci LAN i o to właśnie chodzi. Każdy inny adres oprócz tego jednego nie idzie przez tunel.
Jakby to napisać. Trzeba się przyznać do swojej niewiedzy wprost.
Połączenie w windowsie skonfigurowałem po nazwie komputera, bo były spięte wcześniej w lanie i to działało.
A powinienem wywoływać albo po ip zewnętrznym (publicznym) czy po ip jaki komputer ma w lanie zdalnym.
Tak więc teraz już działa. Ale oczywiście w imię nauki sprawdzę jeszcze z klientem wireguard zainstalowanym w windowsie.
Gdybym to widział zaoszczędołbym ze dwa wieczory klikania ale ważne, że jest sukces.
Dzięki za wszystkie wskazówki.
A wracając do tego co tutaj napisałeś:
U mnie jest inna sytuacja. Zdalne komputery są dostępne na adresie publicznym, ale mogą się z nimi łączyć tylko konkretne publiczne IP. Przez co nie można pracować zdalnie gdzie indziej. Wiec Wireguard robi tunel między klientem (laptop) zdalny) a serwerem ( router z publicznym IP, z którego jest dozwolone połączenie RDP) w allowedIPs jest jedynie publiczny IP serwera RDP.
czyli laptopy mają zmienne ip, a stałe ip (publiczne) jest po stronie routera - serwera wireguard i w tej sieci jest komp do którego się łączysz?
Laptopy mogą mieć jakiekolwiek połączenie z internetem gdziekolwiek na świecie. Mogą być za NATem, firewallem itd.
Z kolei router który jest serwerem Wireguard ma stałe IP zewnętrzne. Ale laptopy nie łączą się do urządzeń za NATem tego routera. Nie mają w ogóle dostępu do niczego oprócz routera.
One mają się łączyć z zupełnie innymi komputerami w innej lokalizacji. Gdzie wystawione są usługi RDP, ale te pulpity pozwalają na połączenie tylko z tego publicznego IP na którym pracuje serwer Wireguard. Z innych IP połączenie zostanie odrzucone i dlatego serwer Wireguard pracuje jako pośrednik dzięki któremu komputer z RDP widzi laptopa z IP serwera, a faktycznie ma zupełnie inne. Trzeci raz to samo już piszę.
Podobnie można zrobić np. Jeśli ktoś chciałby
połączyć się z serwisami które działają tylko w danym kraju, a klient łączył by się z zagranicy.
Np. jakieś serwisy video streamingowe. itp
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → wireguard - pulpit zdalny windows
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc