Как получить доступ к хосту с включенным vpn?

Question

[John Doe]

На headless хосте установлен wireguard клиент. Локальный адрес 192.168.15.39.

Дефолтный маршрут

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    0      0        0 ens160
192.168.15.0    0.0.0.0         255.255.255.0   U     0      0        0 ens160

При включении vpn клиента, рвется связь ssh подключения, к локальному адресу 192.168.15.39 и маршрут становится таким:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.15.1       0.0.0.0         UG    0      0        0 ens160
192.168.15.0    0.0.0.0         255.255.255.0   U     0      0        0 ens160

Конфиг клиента такой:

/etc/wireguard/wg0.conf
[Interface]
PrivateKey = peer_private_key
Address = 10.8.0.2/32

[Peer]
PublicKey = U9uE2kb/nrrzsEU58GD3pKFU3TLYDMCbetIsnV8eeFE=
AllowedIPs = 0.0.0.0
Endpoint = 123.45.67.8:51820
PersistentKeepalive = 20

Вопрос собственно в том, как получить доступ по ssh к локальному интерфейсу 192.168.15.39 во время включенного интерфейса wireguard клиента?

Answer 1

[Руслан Федосеев]

рвется подключение откуда?

вообще ответ простой - надо настроить маршрутизацию так, чтобы локальный трафик не заворачивался в впн. Обычно достаточно прописать статический маршрут локальной сети на локальный шлюз.

Comments

[John Doe]

Руслан Федосеев Рвется из локальной сети, в ту же локальную сеть.

[hint000]

V N, что-то недоговариваете, локальный трафик не должен рваться, значит есть ещё какой-то фактор, про который вы забыли.
Сделайте mtr или traceroute (или tracert на винде) с "рвущего" клиента до сервера (в момент, когда уже порвано соединение).

[John Doe]

hint000 Ничего не скрываю. Я разобрался, headless хост и клиент, были в разных подсетях.
Руслан Федосеев был прав, нужно было добавить статический маршрут

[Руслан Федосеев]

из той же в ту же?
Ох, у нас с вами разное понимание "той же сети"

192.168.15.0 0.0.0.0 255.255.255.0

вот это та же сеть. 192.168.15.0/24
ВСЕ ОСТАЛЬНЫЕ СЕТИ - это ИНТЕРНЕТ. Это не та же сеть.

[John Doe]

Руслан Федосеев,
Я подключался из сети 192.168.100.0/24

[Руслан Федосеев]

так это далеко не "та же" сеть. Без статического маршрута задача нерешаема в вашем случае

[John Doe]

Руслан Федосеев
Все-таки не совсем разобрался
без включенного на хосте 192.168.15.39 хост доступен из сетей 192.168.15.0/24 и 192.168.100.0/24
Стоит запустить на нем vpn, хост доступен только из своей подсети 192.168.15.0/24
из 192.168.100.0/24 не пингуется

[Руслан Федосеев]

статический маршрут 192.168.0.0/16 via 192.168.15.1 решит вашу проблему.