Как прописать роутинг для клиента pfsense и wireguard?

Question

[Евгений]

Привет. У меня есть локальная сеть с серверами за pfsense.

WAN 1.2.3.4
LAN 192.168.168.0/24
OPT1 (wireguard) 10.10.10.0/24

Серверы локальной сети для клиентов доступны только через VPN. И все было хорошо, пока не появился один клиент. Он подключается к VPN из своей локальной сети. Его локальная сеть 192.168.0.0/255.255.0.0 и все пакеты маршрутизируются через локальный шлюз 192.168.2.1.

Я уже сломал голову над тем, как мне настроить маршрутизацию, чтобы он мог получить доступ к нашей локальной сети.

Comments

[Drno]

Вам надо поменять адресацию сети или у себя или у клиента...

[Евгений]

Drno, я бы с удовольствием, только не понимаю как. У клиента windows. На pfsense могу прописать что угодно.

[Drno]

Евгений, ну ваша lan находится в подсети клиента. Поэтому и проблема
Меняйте адресацию или в Вашей сети или в сети клиента

Свою можете сменить например на 10.10.10.0/24

[Евгений]

Drno, да вот невозможно ни одно ни другое. Вижу как вариант на своих компьютерах интерфейсу присвоить второй IP, не попадающий в сеть клиента. И там и там давно устоявшиеся сети и настроенный софт под адреса.

Answer 1

[Valentin Barbolin]

Евгений,

LAN 192.168.168.0/24

Странно что ты не наступил на эту граблю раньше. Это же очевидно, что большинство домашних роутеров используют сеть 192.168.0.0/24 или 192.168.1.0/24.

Что можно придумать:
- поменять у себя сети на LAN 192.168.168.0/24 и соответственно на всех клиентах в локальной сети и больше не сталкиваться с этой проблемой
- если нужен только один порт, то пробросить этот порт через OPT1 (wireguard) 10.10.10.1 соответственно клиент будет обращаться на IP 10.10.10.1, а он будет проброшен на IP внутри локалки.
- настроить netmap для все сети, например клиент будет обращаться на 192.168.20.0/24 а ты будешь на PF нетмепить запросы на 192.168.0.0/24.
- более узкий маршрут в приоритете, соответственно на стороне клиента можно прописать нужный маршрут только на конкретный сервер (например 192.168.0.10/32)

Comments

[Евгений]

Так моя LAN и есть 192.168.168.0/24. Мой WG выдает из подсети 10.10.10.0/24. У клиента используется 192.168.1.0/24 и 192.168.2.0/24 поэтому маску на своих компьютерах использует 255.255.0.0

[Valentin Barbolin]

Евгений, На клиенте есть маршрут в твою сеть?
покажи netstat -nr
и конфиг клиента wg

[Евгений]

Valentin Barbolin,

[Interface]
PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
Address = 10.10.10.11/24

[Peer]
PublicKey = yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy=
AllowedIPs = 10.10.10.1/32
Endpoint = 38.15.146.114:51820
PersistentKeepalive = 10

[Valentin Barbolin]

Евгений, В конфигурации клиента нет маршрута в твою сеть!
[Peer]
AllowedIPs = 10.10.10.0/24, 192.168.0.0/24

[Евгений]

Valentin Barbolin, не помогает, он почему-то все равно через свой интерфейс ведет