Odp: Wireguard VPN i problem z firewall
To jeszcze nieśmiało zapytam.
Żeby mieć dostęp do sieci LAN za serwerem (do urządzeń w sieci lokalnej) w adresacji 192.168.1.x wystarczy zastosować instrukcję poniżej czy cały serwer OpenVPN trzeba przekonfigurować z 10.8.0.x na 192.168.1.x?
Dostęp do sieci LAN za serwerem
Na serwerze OpenVPN definiujemy jaką trasę ma wysłać do klienta, aby klient mógł się odwołać do sieci lokalnej serwera (zakładamy że serwer obsługuje sieć lan o adresacji 192.168.1.0/24):
# uci add_list openvpn.home.push='route 192.168.1.0 255.255.255.0'
# uci commit openvpn
Dodatkowo należy jeszcze dodać na serwerze do strefy VPN opcję masq 1 (w pliku /etc/config/firewall):
config zone
option name 'vpn'
option input 'ACCEPT'
option forward 'ACCEPT'
option output 'ACCEPT'
option network 'vpn'
option masq '1'
Oraz dodajemy możliwość forwardu pakietów pomiędzy vpn a lan
# uci add firewall forwarding
# uci set firewall.@forwarding[-1].src='vpn'
# uci set firewall.@forwarding[-1].dest='lan'
# uci commit firewall
Zapisujmy całość i restartujemy router lub usługi:
# /etc/init.d/openvpn restart
# /etc/init.d/firewall reload
Pamiętajmy że może to sprawić niezły problem jeżeli klient ma drugą sieć (np. lan) o takiej samej adresacji. Należy wtedy zmienić zakres adresów serwera lub klienta (np. na 192.168.2.1). Należy też pamiętać, aby urządzenie w sieci lokalnej za serwerem miało poprawnie ustawiony gateway, inaczej możemy nie móc ani go pingować ani dostać się do jego zasobów.