1 Temat przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Temat: WireGuard z dostępem tylko do 2 urządzeń

Hej. Router ma standardowe IP 192.168.1.1. W sieci LAN są 2 urządzenia z interfejsem web: 192.168.1.X:AAA oraz 192.168.1.Y:BBB
Co muszę zrobić, aby wireguard mógł komunikować się tylko z tymi 2 urządzeniami (z konkretnym porcie)? Inne urządzenia z LAN niech mają cały dostęp. Dodatkowo WG niech nie będzie wyjściem internetu (siedząc na telefonie i będąc połączonym przez VPN chcę mieć tylko dostęp do tych 2 urządzeń, a google/wp itp już mają nie działać). Co muszę przerobić z poradnika?

Mój net: http://www.speedtest.net/result/1920298676.png

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

- w allowedips na "kliencie" nie podajesz 0.0.0.0 tylko określone adresy lub klasę adresową do których ma być dostęp po drugiej stronie.
- ew inne sprawy wycinasz na firewallu. Wireguard bawi się tylko ew routingiem i niczym więcej.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

W allowdips tylko można IP z portem? Jeden sprzęt to serwer z kilkonastoma usługami, a chcę aby dostępny przez VPN był tylko jeden.

Mój net: http://www.speedtest.net/result/1920298676.png

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

Nie. Tylko adresy IP.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

To wolę zaporą. Jak ustawię akcję jako akceptuj to rozumiem, że pozostałe będą blokowane (jak przypiszę, że docelowy 192.168.1.AAA:BB to już nie będzie działać 192.168.1.AAA:CC? Adres źródła to 10.9.0.1:55055 czy 10.9.0.2:55055?

Mój net: http://www.speedtest.net/result/1920298676.png

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

Zadajesz pytania bez podania konfigów. Więc jakiej odpowiedzi odczekujesz? Zgaduję że 10.9.0.2 traktujesz jako drugą stronę tunelu więc z niego będzie ruch, ale nie z portu 55055 bo to, znów zgaduję, że traktujesz jako port nasłuchu wiregaurda ("serwera").

Możesz przecież założyć reguły i zobaczysz czy i co się łapie.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

10.9.0.2 to klient na telefonie. Chcę wszystko zablokować poza ruchem na 192.168.1.X:AAA oraz 192.168.1.Y:BBB (strony internetowe).
Za to w normalnym otoczeniu sieciowym (wszyscy połączeni przez wifi/lan mają mieć nieograniczony dostęp do siebie (nie muszą widzieć telefonu łączącego się przez wireguard).

Mój net: http://www.speedtest.net/result/1920298676.png

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

Robisz zwykłą regułę na firewallu...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez qwerty (edytowany przez qwerty 2025-05-15 19:40:12)

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

Może Tobie to zwykła reguła.
Wpisałem protokół TCP/UDP
strefa źródłowa: Lan
Adres źródłowy 10.9.0.2
port dowolny
strefa docelowa LAN
adres przeznaczenia: 192.168.1.X
port docelowy: AAA
akcja: akceptuj

i niestety działa cały lan....

Mój net: http://www.speedtest.net/result/1920298676.png

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

Nie. Strefa źródła nie lan tylko vpn, wg0 czy jak tam nazwałeś.

Jak dałeś akceptuj to masz akceptuj. Następną regułę zrób reject na wszystko co pochodzi z adresu 10.9.0.2

EDIT: a tak w ogóle zrób sobie reject na wszystko, musi zablokować a potem sobie są zmieniają i dodawaj kolejne elementy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

W luci widnieje LAN: lan i Wireguard (jakby grupa):
https://i.ibb.co/VRbVj5b/luci.jpg
Działa jak należy.

Mój net: http://www.speedtest.net/result/1920298676.png

12 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

Nie łączy się wg do lanu bo ma inną adresację niż lan. Jeżeli faktycznie włożyłeś wg do strefy lan to masz po prostu błąd ideologiczny.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

13 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

Zmieniłem strefę i pojawiło się wg0 i nie mogę skasować: Interfejs jest oznaczony do usunięcia, ale nie znika...

Mój net: http://www.speedtest.net/result/1920298676.png

14 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

A teraz porada. Za darmo. Nie używaj luci.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

15 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

Przynajmiej działają, a nie jak w poradniku:
wg genkey > server.privkey
Warning: writing to world accessible file.
Consider setting the umask to 077 and trying again.

Mój net: http://www.speedtest.net/result/1920298676.png

16 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,065

Odp: WireGuard z dostępem tylko do 2 urządzeń

Przecież działa. Tylko wypisał ostrzeżenie którego jak widać nie przeczytałeś bo inaczej byś w ogóle go tu nie przytoczył.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

17 Odpowiedź przez qwerty

  • qwerty
  • Użytkownik
  • Nieaktywny
  • Skąd: 2001:6a0:200:250::2/64
  • Zarejestrowany: 2010-07-19
  • Posty: 280

Odp: WireGuard z dostępem tylko do 2 urządzeń

W każdym bądź razie robię na luci, przypisałem do nowej strefy i zdaje się, że wszystko działa jak należy. wink

Mój net: http://www.speedtest.net/result/1920298676.png