1 (edytowany przez krisux 2021-03-25 21:03:42)

Temat: Wireguard - dostęp do lan klienta

Hej,

odpaliłem interfejs wg0 10.200.200.1/24 na debianie. Adres tego komputera w moim lanie to 192.168.10.101.

Do serwera łączy się malinka z innej sieci bez zewnętrznego ip. Jest klientem wg0 na adresie 10.200.200.2, a adres wewnętrzny w lan to 192.168.20.105.

Zrobiłem konfigurację w ten sposób, że mogę dostać się do lan klienta 192.168.20.0 bezpośrednio z serwera ale...

Jak ustawić routing w moim lan 192.168.10.0 bym miał dostęp do sieci lan klienta wireguard 192.168.20.0 z dowolnego urządzenia?

2

Odp: Wireguard - dostęp do lan klienta

Przenoszę do inne, bo z openwrt to wspólnego nic nie ma.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

3 (edytowany przez krisux 2021-03-25 22:20:51)

Odp: Wireguard - dostęp do lan klienta

Dołączam jeszcze grafikę... Chodzi o czerwoną trasę... Jaki wpis na router A?

http://kskrzynski.usermd.net/wg0.png

4

Odp: Wireguard - dostęp do lan klienta

ip route add 192.168.20.0/24 dev wg0

Trasa do .20.0/24 przez tunel.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

5 (edytowany przez krisux 2021-04-03 08:50:06)

Odp: Wireguard - dostęp do lan klienta

Cezary napisał/a:

ip route add 192.168.20.0/24 dev wg0

Trasa do .20.0/24 przez tunel.

Dzięki. Samo ustawienie tego routa nie wystarczyło. Musiałem dodać jeszcze ten zasięg do parametru allowedIPs na serwerze wg.

AllowedIPs = 10.200.200.2/32, 192.168.20.0/24

Podniesienie interfejsu automatycznie dodaje ten wpis do tablicy routingu.

Na końcu na routerze w sieci lokalnej „A” dodałem route przez serwer wg do sieci „B”klienta wg smile

6

Odp: Wireguard - dostęp do lan klienta

To mam jeszcze pytanie smile

Jaki wpis na serwerze w iptables zablokuje możliwość routingu przez klienta?

Przykład:
Serwer A 10.200.200.1
Klient B 10.200.200.2

Dostęp do lan/wan ale tylko z poziomu tego podłączonego urządzenia (LAN klienta nie może trasować przez klienta do 10.200.200.1 i dalej).

7

Odp: Wireguard - dostęp do lan klienta

iptables -I FORWARD -s XXXXXX -d YYYYYY -j DROP?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

8

Odp: Wireguard - dostęp do lan klienta

Cezary napisał/a:

iptables -I FORWARD -s XXXXXX -d YYYYYY -j DROP?

To tak ale wtedy blokuje również możliwość trasowania od strony sieci lan serwera do sieci lan klienta. Możliwe jest takie ustawienie, które będzie działać tylko w 1 kierunku?

9

Odp: Wireguard - dostęp do lan klienta

Więc zablokuj ruch w jedną stronę a odblokuj w drugą?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10 (edytowany przez krisux 2021-09-10 09:13:08)

Odp: Wireguard - dostęp do lan klienta

Nie blokuje ruchu w drugą stronę.

Z ip 10.44.44.115

Tracing route to 10.44.45.119 [komputer serwera] over a maximum of 30 hops

  1     *          1 ms     1 ms    10.44.44.1 [router]
  2      2 ms    1 ms     1 ms    10.44.44.101 [wg server]
  3    13 ms    10 ms    20 ms  10.60.60.2 [wg client]
  4    94 ms    12 ms    12 ms  10.44.45.119 [komputer klienta]

Trace complete.

Ale działa tylko w sytuacji gdy do firewall dodam.

sudo iptables -A FORWARD -s 10.60.60.0/24 -i wg0 -j ACCEPT
sudo iptables -A FORWARD -s 10.44.45.0/24 -i wg0 -d 10.44.44.0/24 -j ACCEPT