Как организовать доступ в ЛВС по Wireguard?

Question

[Антон]

На VDS развернут Wireguard-сервер. На домашнем ПК и планшете установлены клиенты. Когда идешь в интернет с разрешенными адресами на клиентах 0.0.0.0/0 то все прекрасно, за исключением двух "но":
1. на ПК становятся недоступными все устройства в локальной сети (очевидно потому что весь трафик заводится на wireguard-сервер);
2. клиенты не видят (не пингуют) друг друга, соответственно получить удаленный доступ с планшета поверх интернета через wireguard-сервер на домашний ПК (к домашней ЛВС) не получается.

Вводные:
- внешний белый ip vds сервера 64.227.126.100 (WG на порту 51820)
- внутренний ip WG-сервера 10.8.0.1
- домашний ПК 192.168.0.61/24
- планшет подключается к разным мобильным операторам

ufw status сервера:


/etc/wireguard/wg0.conf


Клиентский конфиг туннеля


Требуется получить доступ с планшета к машине в домашней сети по ее локальному адресу 192.168.0.61 (виндовая или линуксовая машина) и желательно в обратную сторону.


Я не соображу - нужно это разруливать прописыванием маршрутов или на межсетевом экране?

Comments

[Valentin Barbolin]

Галочка не смущает?)

Покажи вывод iptables-save

[Антон]

Фактически мне надо как в этой статье https://vc.ru/dev/155768-stroim-vpn-tunnel-v-lokal... настроить шлюзовую машину (в статье 10.0.0.2) в домашней сети на проброс из сети 10.8.0.0/24 в 192.168.0.0/24
Только в статье машина под управлением Linux и реализует автор это добавлением в конфиг туннеля следующей конфигурации iptable

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o wlp2s0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o wlp2s0 -j MASQUERADE

А моя машина под управлением Windows 11 с отключеным файрволом, и как это прописать на ней не особо понимаю. Видимо надо где то прописать на шлюзе маршрут через виртуальный интерфейс WG из 10.8.0.0/24 в 192.168.0.0/24 и обратно.

[Антон]

Valentin Barbolin, Галку снял - машины друг друга пингуют по 10.8.0.0/24, но с планшета поверх интернета доступ через домашний ПК (в качестве шлюза) недоступны другие машины по 192.168.0.0/24

Вывод iptables WG-сервера:

# Generated by iptables-save v1.8.7 on Wed Jul 5 15:27:05 2023
*filter
:INPUT DROP [1756922:85620688]
:FORWARD DROP [2884:217130]
:OUTPUT ACCEPT [4345:704539]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
-A FORWARD -i wg0 -j ACCEPT
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 51820 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 22 -m comment --comment "\'dapp_OpenSSH\'" -j ACCEPT
-A ufw-user-input -p tcp -m multiport --dports 80,443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -m comment --comment "\'dapp_Nginx%20HTTP\'" -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -m comment --comment "\'dapp_Nginx%20HTTPS\'" -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Wed Jul 5 15:27:05 2023
# Generated by iptables-save v1.8.7 on Wed Jul 5 15:27:05 2023
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

[Valentin Barbolin]

-A FORWARD -i wg0 -j ACCEPT

Сквозняк разрешен) это хорошо

ПК1 (в качестве шлюза) - что это? Linux, windows? Что на нем настроено? Является ли он GW для сети 192.168.0.0/24 ? На wg сервере есть маршрут в сеть 192.168.0.0/24 ?

[Антон]

Valentin Barbolin, это обычный рабочий компьютер Win11, FW отключен, ip 192.168.0.8, установлен клиент WG:

[Interface]
PrivateKey = ****
Address = 10.8.0.8/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = *******
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = 64.227.126.100:51820

Правда сейчас непонятно почему AllowedIPs = 0.0.0.0/1 изменился сам собой на AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1

Я сейчас пытаюсь настроить связь через него, с настройкой интернет-шлюза VPN Fusion на маршрутизаторе Asus gt-axe16000 я совсем запутаюсь.

[Valentin Barbolin]

Антон,

это обычный рабочий компьютер Win11

Это труба. Лучше поставь какую-то виртуалку и настрой на ней WG. (Hyper-V, VMware, VirtualBox).

Если этот win 11 не GW для этой сети, то надо
- либо прописать маршрут на клиенте который в сети 192.168.0.0/24 в сеть 10.8.0.0/24 через 192.168.0.8
- либо прописать маршрут на asus в сеть 10.8.0.0/24 через 192.168.0.8
- либо включить на 192.168.0.8 NAT когда пакет приходит от 10.8.0.0/24

[Антон]

Valentin Barbolin, ок, решил пойти правильным путем. На маршрутизаторе завел профиль подключение в wg vpn-серверу:


и перетащил в него Win11 ПК 192.168.0.61 и Home assistant на VM 192.168.0.40. NAT включен. Allowed IPs 0.0.0.0/0

Win11 машина 192.168.0.61 действительно получает таким образом доступ в интернет через WG-сервер

Но при этом ноутбук, подключенный из интернета в ту же сеть WG, по прежнему не видит 192.168.0.61 и 192.168.0.40.

[Valentin Barbolin]

Антон, На WG сервере для профиля роутера asus ты добавил сеть 192.168.0.0/24 ?
AllowedIPs = 10.8.0.8/32, 192.168.0.0/24

[Антон]

Valentin Barbolin при этом с Win11 192.168.0.61 пингуется ноутбук 10.8.0.3. Получается что с локальной машины мне доступны внешние машины, но не наборот.

На WG сервере для профиля роутера asus ты добавил сеть 192.168.0.0/24 ?

Речь идет о /etc/wireguard/wg0.conf ?

[Valentin Barbolin]

Антон,

при этом с Win11 192.168.0.61 пингуется ноутбук 10.8.0.3.

Потому что стоит галочка в asus "Включить NAT".

[Антон]

Valentin Barbolin, прописал 192.168.0.0/24,10.8.0.8/32 в /etc/wireguard/wg0.conf на сервере и все прекрасно заработало в обе стороны. Просто супер! Огромное спасибо!!!

Answer 1

[Alexey Dmitriev]

Нужно исключить нужные вам подсети из Allowed IPs
калькулятор здесь https://www.procustodibus.com/blog/2021/03/wiregua...