Как правильно настроить доступ к локальной сети через wireguard?

Question

[Ilya Loopashko]

Всем привет, помогите пожалуйста разобраться, как правильно настроить доступ к локальной сети через wireguard.



Что у меня есть:
– Клиент (PEER1) мобильный телефон.
– Роутер (локальный IP: 192.168.31.1, внешний: 180.180.180.180)
– Сервер с докером (192.168.31.189)
– Wireguard запущенный на сервере в докере (192.168.31.130)
– Несколько ПК (192.168.31.xx)
Соединение есть, но доступа к сети нет. Перепробовал саме популярные способы но не один у меня не работает.

Wg0.conf

[Interface]
Address = 10.13.13.1
ListenPort = 51820
PrivateKey = {PrivateKey}
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth+ -j MASQUERADE

[Peer]
# peer1
PublicKey = {PublicKey}
PresharedKey = {PresharedKey }
AllowedIPs = 10.13.13.2/32

Peer1.conf

[Interface]
Address = 10.13.13.2
PrivateKey = {PrivateKey}
ListenPort = 51820
DNS = 10.13.13.1

[Peer]
PublicKey = {PrivateKey}
PresharedKey = {PresharedKey }
Endpoint = 180.180.180.180:51820
AllowedIPs = 0.0.0.0/0, ::/0

ip route show в wireguard докер-контенере

default via 192.168.31.1 dev eth0 
10.13.13.2 dev wg0 scope link 
192.168.31.0/24 dev eth0 proto kernel scope link src 192.168.31.130

route -n в wireguard докер-контенере

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.31.1    0.0.0.0         UG    0      0        0 eth0
10.13.13.2      0.0.0.0         255.255.255.255 UH    0      0        0 wg0
192.168.31.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

Comments

[Дмитрий]

удалил свой ответ про маскарадинг - не заметил правило в конфиге wg .
проверьте все же, что компы в сети отвечают куда надо, помониторьте пакетики

Answer 1

[Alexey Dmitriev]

Нужно обеспечить маршрутизацию и прохождение трафика на всем пути следования этого трафика. Так как wireguard не умеет управлять таблицамми маршрутизации на сервере и клиенте - то потребуется настройка маршрутизации на всех хостах, начиная с клиента wireguard, продолжая сервером wireguard и заканчивая всеми хостами в локальной сети, куда нужен доступ.
Альтернативой может быть использование NAT на сервере wireguard.

Comments

[Ilya Loopashko]

Я пробол из этой статьи роуты править, но после моих правок у меня wg встает на глухо, даже дефолтные соединения не работаю.

[Alexey Dmitriev]

Ilya Loopashko, нужно понимать как работает маршрутизация. Ввиду того, что вы добавили в путь прохождения еще и docket net - ситуация еще немного сложнее стала IMHO.
Советую взять openvpn и не использовать докер - там можно разобраться и по инструкциям.

Answer 2

[Zerg89]

Поидее проблема в отсутствии маршрута из сети до сервера wg

Comments

[Ilya Loopashko]

А не подскажешь как её исправить?

[Zerg89]

Ilya Loopashko, на роутере маршрут пропиши до 10.13.13.0/24 из 192.168.31.0/24 и обратный из 10.13.13.0/24 до 192.168.31.0/24
Ps твой маршрут выглядит так инет >роутер> wg nat> роутер, соответственно на роутер приходит пакет с ip 10.13.13.1