Задать вопрос

Как направить весь трафик кроме локального через WIREGUARD?

Приветствую. Имеется вдс на котором стоит WireGuard + unbound + pihole. Конфиги следующие
wg0.conf
[Interface]

PrivateKey = 
Address = 10.1.1.1/24, fd1::1/64
ListenPort = 6969


PostUp = iptables -A FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
PostDown = iptables -D FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE



[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 10.1.1.2/32, fd1::2/128
PersistentKeepalive = 25

[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 10.1.1.3/32, fd1::3/128
PersistentKeepalive = 25

[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 10.1.1.4/32, fd1::4/128
PersistentKeepalive = 25


Далее стоит клиент на винде с таким конффигом
[Interface]
PrivateKey =
Address = 10.1.1.2/32, fd1::2/128
DNS = 10.1.1.1, fd1::1

[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = xxx.xx.x.xx:6969
PersistentKeepalive = 25


Все работает. dns leak test говорит что все супер. ipv6 так же отрабатывает pihole блочит. Но нет доступа к локальным ресурсам таким как роутер 192.168.0.1 и прочее устройства, оно и понятно так как я весь трафик направляю через туннель 0.0.0.0/0, ::/0 включая локальный. Но если я ставлю 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1 то доступ к локальным ресурсам появляется, так же работает ipv6 pihole блочит но dns leak test уже говорит что все плохо. Как то можно это исправить?
  • Вопрос задан
  • 3217 просмотров
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 1
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Описать через allowedips все подсети, кроме локальных. Андроид или Windows (не помню точно, возможно оба) клиент умеет составлять их автоматически.
Вы же гуглили по запросу wireguard exclude local net?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы