Как заставить ходить трафик между сетями OpenVPN и Wireguard?

Question

[hostadmin]

Есть VPS на котором поднят openvpn (сеть 10.8.0.*) и wireguard (10.7.0.*).

Имеются два клиента с сетями 192.168.1.0/32 и 192.168.0.0/32. Это квартира и дача.

Так же имеются другие клиенты, которые должны иметь доступ в указанные сети 192...

Раньше был настроен только openVPN и всё прекрасно работало. Сейчас хочется перейти на wireguard, но требуется переходный период и работа одновременного и openvpn и wireguard.

Сейчас сеть 192.168.1.0 (квартира) осталась на openvpn, а 192.168.0.0 (дача) на wireguard.

Роутер с wireguard подключается к серверу, пинги по ip 10.7.0.* ходят туда сюда, с роутера можно пингануть 10.8.0.1 и всё будет хорошо, но пинги на 10.8.0.* уже не идут (хотя с самого сервера всё пингуется нормально). Так же не идут пинги на 192.168.1.1 (квартирный роутер, подключенный по openvpn, 10.8.0.7).

Маршруты на сервере сейчас такие:

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         51.***      0.0.0.0         UG    0      0        0 eth0
10.7.0.0        0.0.0.0         255.255.255.0   U     0      0        0 wg0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
51.***      0.0.0.0         255.255.255.255 UH    0      0        0 eth0
172.16.238.0    0.0.0.0         255.255.255.0   U     0      0        0 br-a453332e5303
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 docker0
192.168.1.0     10.8.0.2        255.255.255.0   UG    0      0        0 tun0

Нужно, чтобы сети за интерфейсами wg0 и tun0 видели друг друга.

Answer 1

[Alexey Dmitriev]

Причем тут маршруты на сервере? Они автоматом создаются.
На сервере должен быть разрешен:
1. forward пакетов через ядро (sysctl)
2. Файрвол должен разрешать прохождение пакетов между сетями 192.168.1.0 и 192.168.0.0 (iptables -A FORWARD xxxx -j ACCEPT), либо между интерфейсами (iptables -A FORWARD -i xxx -o xxx -j ACCEPT).

А вот ваши оконечные устройства в обеих подсетях должны иметь маршруты до противоположных подсетей - каждая через свой VPN. Или раздавайте их автоматически или руками.

А вообще идея полупереезда и ожидания ответа здесь на форуме вместо полной миграции дачи и квартиры выглядит кривовато.

Comments

[hostadmin]

1. разрешен
2. да уже много всего перепробовал, но что-то не работает ничего (с iptables давно уже не общался, всё забыл)

Оконечные устройства маршруты имеют.

А вообще идея полупереезда и ожидания ответа здесь на форуме вместо полной миграции дачи и квартиры выглядит кривовато.

Да я думаю, что устройства без поддержки wg еще долго будут, плюс у openvpn есть какие-то свою плюшки, которые иногда нужны.

Answer 2

[hostadmin]

Короче все оказалось просто - на роутере, который не пинговался, надо было прописать маршрут до 10.7.0.1, без него он не мог на пинг ответить.