Как сделать обратный доступ к клиенту wireguard от локальной сети за keenetic с встроенным сервером wireguard?

Question

[Supervisor3000]

Конфигурация:
1) домашняя сеть за роутером Keenetic с белым IP
Локальная 172.16.1.0/24
На роутере сервер wireguard
имя WG
Адрес 172.16.82.1/24
Порт 44**
DNS - нет
Настройки пира:
WG-Klient
Разрешенные подсети
172.16.82.2/32
192.168.13.0/24
172.16.1.0/24

На keenetic сделаны настройки:
- межсетевой экран для WG
РАЗРЕШИТЬ IP ЛЮБОЙ на ЛЮБОЙ
-статический маршрут
192.168.13.0/24 Адрес шлюза (нет). интерфейс WG. Добавлять автоматически.

2) удаленная сеть
192.168.13.0/24
На одной из машин под windows 8 стоит клиент wireguard
Конфигурация Туннеля в нем:
[Interface]
PrivateKey = aA2dEu***=
Address = 172.16.82.2/24
[Peer]
PublicKey = 6qU***=
AllowedIPs = 172.16.82.1/24, 172.16.1.0/24, 192.168.13.0/24
Endpoint = адрес и порт роутера keenetic
PersistentKeepalive = 10

=================
Желание:
1) доступ с компьютера удаленного клиента(192.168.13.96) к сети за keenetic( то есть к адресам 172.16.1.0/24) и
2) доступ с адресов 172.16.1.0/24 ко всем адресам сети 192.168.13.0/24
=================
Резюме.
Работает отлично только первая часть:
доступ с 192.168.13.96 ко всей сети 172.16.1.0/24 .
Обратно не работает.
Конкретнее.
Берем компьютер с windows 10 за роутером Keenetic :
ping 192.168.13.96
Обмен пакетами с 192.168.13.96 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Трассировка показывает интересно:
tracert 192.168.13.96
Трассировка маршрута к 192.168.13.96 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 172.16.1.49
2 31 ms 33 ms 27 ms KOMP [172.16.82.2]
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.

То есть, пакеты идут верно и доходят до 172.16.82.2 ( адрес туннеля на удаленном клиенте). А дальше?

На удаленном клиенте windows 8- выключен брандмауэр, нет антивируса.
Таблица маршрутиризации руками не правилась.
Она такая:

Comments

[none7]

Так как это keenetik, то первое, что нужно делать interface Wireguard0 security-level private потому, что там от политик зависит скрытый набор параметров фильтрации. Доходят ли пакеты до удалённого Windows и в каком виде, можно посмотреть Wireshark.

Answer 1

[ValdikSS]

Необходимо добавить маршрут до диапазона 172.16.1.0/24 через шлюз 192.168.13.96 на все устройства в сети 192.168.13.0/24.
Аналогичный маршрут добавить до диапазона 172.16.82.1/24, если планируете получать доступ к сети 192.168.13.0/24 с адресов VPN.
Сделать это можно автоматически, DHCP-опциями 121 и 249.

Сейчас у вас пакеты доходят до устройств назначения, но устройства шлют ответный пакет через шлюз по умолчанию, который не знает о вашем VPN.

Также можно добавить подобный маршрут на сам роутер (который у вас выступает шлюзом по умолчанию в 192.168.13.0/24). Это неоптимально, но будет работать, также роутер будет отправлять ICMP Redirect'ы компьютерам.

Comments

[Supervisor3000]

Доброй ночи!
Выполняю Ваши предложения:
1)

Необходимо добавить маршрут до диапазона 172.16.1.0/24 через шлюз 192.168.13.96 на все устройства в сети 192.168.13.0/24.

Вы не указали на какой интерфейс. На компьютере 192.168.13.96 делаю ROUTE/ Она дает только на интерфейс 192.168.13.96. Получаем такое:

2)

Аналогичный маршрут добавить до диапазона 172.16.82.1/24, если планируете получать доступ к сети 192.168.13.0/24 с адресов VPN.

Я так понял, что это тоже на компьютере с адресом 192.168.13.96 ( компьютер, где клиент).
Команда route не проходит ни на интерфейс 172.16.82.2, ни на интерфейс 192.168.13.96.
Это выглядит так:

Так как этот маршрут не хочет создаваться, я подумал, что Ваше

с адресов VPN

может означать, что это маршрут надо на компьютере, который после роутера, например под IP 172.16.1.15.
Этот маршрут выполнился:

==============
Но ничего не поменялось:
с компьютера 172.16.1.15 доступа к 192.168.13.96 нет:


А обратно - как работало, так и работает.
Что не так?

[ValdikSS]

Supervisor3000, маршруты нужно добавлять на устройствах сети, т.е. на всех компьютерах и других хостах, к которым нужен доступ. Не на VPN-клиенте.

А обратно - как работало, так и работает.

Что это значит?

[Supervisor3000]

Как я и писал в самом начале:

Работает отлично только первая часть:
доступ с 192.168.13.96 ко всей сети 172.16.1.0/24 .

Это всегда и работало.
Но не работало это:
172.16.1.15 -> роутер kinetic(сервер wireduard)-> туннель wireguard -> комп под windows 192.168.13.96 (где стоит клиент wireguard).

И оно не работает сейчас, после Ваших рекомендаций.
Вы пишите, что

Сейчас у вас пакеты доходят до устройств назначения, но устройства шлют ответный пакет через шлюз по умолчанию, который не знает о вашем VPN.

По моей логике, пакеты не доходят до 192.168.13.96.
Если бы они доходили, то обратно без проблем(маршрут работает- пинги и трасса идет нормально с 192.168.13.96 на 172.16.1.15).
А не доходят на последнем этапе (выход из туннеля на клиенте). С адреса 172.16.82.2 на 192.168.13.96.
Довод я приводил в самом начале:

tracert 192.168.13.96
Трассировка маршрута к 192.168.13.96 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 172.16.1.49
2 31 ms 33 ms 27 ms KOMP [172.16.82.2]
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.

Почему не работает с адреса 172.16.82.2 на 192.168.13.96 ?
Что не так?

[ValdikSS]

Supervisor3000, На клиенте с windows 8 у вас включена маршрутизация? Без настойки, разумеется, обычная десктопная ОС не будет маршрутизировать пакеты в другие сети для других устройств.

[Supervisor3000]

ValdikSS,
Конечно включена.

[ValdikSS]

Supervisor3000, похоже на непрохождение пакетов через этот компьютер с windows, отлаживайте.