Как направить весь трафик кроме локального через WIREGUARD?

Question

[Дмитрий Береза]

Приветствую. Имеется вдс на котором стоит WireGuard + unbound + pihole. Конфиги следующие
wg0.conf

[Interface]

PrivateKey = 
Address = 10.1.1.1/24, fd1::1/64
ListenPort = 6969


PostUp = iptables -A FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
PostDown = iptables -D FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE



[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 10.1.1.2/32, fd1::2/128
PersistentKeepalive = 25

[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 10.1.1.3/32, fd1::3/128
PersistentKeepalive = 25

[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 10.1.1.4/32, fd1::4/128
PersistentKeepalive = 25

Далее стоит клиент на винде с таким конффигом

[Interface]
PrivateKey =
Address = 10.1.1.2/32, fd1::2/128
DNS = 10.1.1.1, fd1::1

[Peer]
PublicKey = 
PresharedKey = 
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = xxx.xx.x.xx:6969
PersistentKeepalive = 25

Все работает. dns leak test говорит что все супер. ipv6 так же отрабатывает pihole блочит. Но нет доступа к локальным ресурсам таким как роутер 192.168.0.1 и прочее устройства, оно и понятно так как я весь трафик направляю через туннель 0.0.0.0/0, ::/0 включая локальный. Но если я ставлю 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1 то доступ к локальным ресурсам появляется, так же работает ipv6 pihole блочит но dns leak test уже говорит что все плохо. Как то можно это исправить?

Answer 1

[Alexey Dmitriev]

Описать через allowedips все подсети, кроме локальных. Андроид или Windows (не помню точно, возможно оба) клиент умеет составлять их автоматически.
Вы же гуглили по запросу wireguard exclude local net?

Comments

[Дмитрий Береза]

Да конечно, уже второй день не могу понять в чем причина и куда копать.

[Alexey Dmitriev]

Дмитрий Береза, чего копать то? Нужно взять онлайн калькулятор, вбить нужное и получить данные. Например этот https://www.procustodibus.com/blog/2021/03/wiregua...

И кстати расскажите что это такое? 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

[Дмитрий Береза]

Alexey Dmitriev, пробовал я этот калькулятор чет ничего не вышло. Мож че не так вписываю? Подскажите как мне при активном гуарде получить доступ к веб морде роутера 192.168.0.1

А это сам гуард 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1 мне выставил. когда снимаешь галочку блокировать нетуннелированный трафик. На андроиде такая же галочка есть, но там список адресов намного больше

[Alexey Dmitriev]

Дмитрий Береза, там примеры прямо в формах. Для ipv4 вот так

spoiler

[Дмитрий Береза]

Alexey Dmitriev, ну значит все правильно делал. Но и толку 0, так как как только я вбиваю значения отличные от 0.0.0.0/0, ::/0 перестает работать dns dnsleaktest сразу обнаруживает моего провайдера.
Все работает и впн и доступ к вебморде появляется но dns увы

[Alexey Dmitriev]

Дмитрий Береза, вы даёте доступ на роутер и компьютер видимо начинает брать dns с него а роутер видимо берет у провайдера. Настройте на роутере чужой dns. Либо в настройках своей сетевой карты уберите из dns ip роутера и поставьте 8.8.8.8

[Дмитрий Береза]

Alexey Dmitriev, щя буду пробовать. А то что у меня тунель настроен на мой собственный днс ресольвер ничего?

[Дмитрий Береза]

Alexey Dmitriev, это же очевидно. почему сам не догнал до этого. спасибо тебе мил человек. В настройках сетевухи указал свой днс 10.1.1.1 и все завелось