Zainstaluj pakiet pbr (i ew luci-app-pbr) na lokalizacji 01 i sobie cały ruch z 172.16.10.50 przekieruj na tunel wg?

Porty lokalne to usuń.

Zrób traceroute i zobacz gdzie się zatrzymuje.

jeśli chodzi o wireguard to on żyje we własnej rzeczywistości z routingiem.
Każdy kto che niech zrobi taki test:
1.
a) uruchomić klienta WG z trasą domyślną przez tunel. Klient wychodzi przez tunel do internetu
b) skasować trasę domyślną przez tunel. Klient nie wychodzi do Internetu przez tunel.
c) dodać "z palca" z powrotem trasę domyślną przez tunel i klient znowu wychodzi przez tunel do internetu.

2.
a) uruchomić klienta WG bez trasy domyślnej przez tunel. Klient nie wychodzi przez tunel do Internetu.
b) dodać "z palca" trasę domyślną przez tunel i klient nadal nie wychodzi przez tunel do internetu.

Podsumowując.
WG musi się uruchomić z trasą domyślną, którą potem można kasować i znowu dodawać wg potrzeb, ale gdy uruchomi się bez trasy domyślnej to już żaden wpis "z palca" mu nie pomoże bo on żyje we własnej przestrzeni z wiedzą że nigdy nie miał trasy domyślnej.
Przynajmniej tak jest u mnie.

@Matt poradziłeś sobie z tym przekierowaniem? Mam podobną sytuację, z tym tylko, że potrzebuję przekierować ruch jednego hosta z sieci lan serwera jakim jest router z OpenWrt 23.05.2 do tunelu Wireguard z klientem na routerze z OpenWrt 23.05 tak aby otrzymać zewnętrzne IP klienta. Przekierowanie ruchu czy to całego czy tylko jednego hosta z klienta do serwera pracuje bezbłędnie, ale jak to zrobić, żeby taki ruch zrealizować w odwrotnym kierunku? Dodam, że tej szczególnej funkcjonalności nie udało się zrealizować również za pomocą OpenVPN.

Właśnie sęk w tym, że po takim przekierowaniu ping np. do 8.8.8.8 nie odpowiada. Jakby interfejs WG0 "nie miał internetu w sobie".

Wiele wskazuje na to, że forwarding jest zrobiony dobrze. Router który wcześniej był klientem przez który chciałem przekierować ruch z hosta serwera, teraz sam stał się serwerem i bez ruszania ustawień firewall (oprócz otworzenia portu na wan) normalnie przepuszcza ruch wg0->wan. Zadaję sobie pytanie czy ktoś w ogóle próbował tak zrobić, aby przekierować ruch z serwera przez łącze klienta, bo rozwiązania takiego szczególnego przypadku w sieci nie znalazłem.

to ja się podepnę z podobnym pytaniem... chciałbym wyjść na świat łączem klienta, który nie ma publicznego ip.

Konfiguracja wydaje się prosta... mogę przekierować cały ruch na ten router bo to osobne urządzenie/sieć w celach testowych czyli schemat "Klient AP" według 1 przykładu z https://eko.one.pl/?p=openwrt-sta

Doszedłem do momentu, że mam lan klienta na moim komputerze, który łączy się z routerem wireguard.

allowed_ips="0.0.0.0/0" ale wciąż na zewnątrz nie wychodzę przez tunel.

route -n

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.44.44.1      0.0.0.0         UG    0      0        0 wlan0
10.44.44.0      0.0.0.0         255.255.255.0   U     0      0        0 wlan0
10.44.45.0      0.0.0.0         255.255.255.0   U     0      0        0 wg0
10.60.60.0      0.0.0.0         255.255.255.0   U     0      0        0 wg0

uci show network

network.loopback=interface
network.loopback.ifname='lo'
network.loopback.proto='static'
network.loopback.ipaddr='127.0.0.1'
network.loopback.netmask='255.0.0.0'
network.globals=globals
network.lan=interface
network.lan.type='bridge'
network.lan.ifname='eth0.1'
network.lan.proto='static'
network.lan.ipaddr='192.168.2.1'
network.lan.netmask='255.255.255.0'
network.lan.iptable='1'
network.lan.ip4table='1'
network.lan.ip6table='1'
network.@switch[0]=switch
network.@switch[0].name='switch0'
network.@switch[0].reset='1'
network.@switch[0].enable_vlan='1'
network.@switch_vlan[0]=switch_vlan
network.@switch_vlan[0].device='switch0'
network.@switch_vlan[0].vlan='1'
network.@switch_vlan[0].ports='1 2 3 4 0t'
network.wan=interface
network.wan.proto='dhcp'
network.wg0=interface
network.wg0.proto='wireguard'
network.wg0.private_key='xxxxxxxxxxxxx'
network.wg0.listen_port='51870'
network.wg0.addresses='10.60.60.9/32'
network.@wireguard_wg0[0]=wireguard_wg0
network.@wireguard_wg0[0].public_key='xxxxxxxxxxxxxxxxxx'
network.@wireguard_wg0[0].route_allowed_ips='1'
network.@wireguard_wg0[0].persistent_keepalive='25'
network.@wireguard_wg0[0].allowed_ips='0.0.0.0/0'
network.@route[0]=route
network.@route[0].interface='wg0'
network.@route[0].target='10.44.45.0'
network.@route[0].netmask='255.255.255.0'
network.@route[1]=route
network.@route[1].interface='wg0'
network.@route[1].target='10.60.60.0'
network.@route[1].netmask='255.255.255.0'
network.lan_wg=rule
network.lan_wg.in='lan'
network.lan_wg.lookup='2'
network.lan_wg.priority='30000'
network.lan_wg6=rule6
network.lan_wg6.in='lan'
network.lan_wg6.lookup='2'
network.lan_wg6.priority='30000'

to co ustawić w endpoint jak nie ma tam publicznego adresu?

to jak napisałem wcześniej mam połączenie... widzę lan tego klienta za natem bez publicznego ip... jest tam zrobiona maskarada i przekierowanie pakietów...

urządzenia się widzą ale nie wiem jak ustawić trasę na moim routerze gdzie mam publiczne ip by wyjść na świat przez łączę tego klienta bez publicznego adresu ip

Dokładnie tak jak piszesz. Spięte są 2 punkty. Teraz chciałbym tak przekierować ruch by urządzenia w lan tego punktu z publicznym adresem identyfikowały się adresem tego dostawcy bez publicznego ip.