Как правильно построить статический маршрут за клиента Wireguard?

Question

[Серёга]

Здравствуйте!
Задача следующая: увидеть подсеть за клиентом Wireguard (Далее WG).
Данные:
Если коротко: Подсеть ASUS, с сервером WG, не видит подсеть, клиента WG, за Keenetic, а Keenetic видит подсеть за ASUS.
Если развёрнуто:
Роутер ASUS, с подсетью 192.168.50.0/24 (шлюз 192.168.50.1), является сервером WG, с подсетью 10.6.0.0/24 (шлюз 10.6.0.1).
Есть клиент WG 10.6.0.5, Keenetic с подсетью 192.168.6.0/24 (шлюз 192.168.6.1).
Проблема: из под основной сети ASUS с сервером WG, не видно сеть 192.168.6.0/24 за клиентом WG, при этом устройствам в сети 192.168.6.0/24 видно сеть за сервером WG 192.168.50.0/24.

Что было сделано:
В настройках WG как клиента так и сервера AllowedIPs = 0.0.0.0/0
Маршрут на ASUS:
Сеть назначения 192.168.6.0, шлюз 10.6.0.5, интерфейс LAN.
Маршруты на Keenetic:
Сеть назначения 192.168.50.0/24, шлюз 10.6.0.1, интерфейс LAN,
Сеть назначения 10.6.0.0/24, шлюз 10.6.0.1, интерфейс LAN.
В межсетевом экране keenetica, открыл полный доступ по протоколам ip/udp/tcp через интерфейс WG.

Пожалуйста подскажите куда копать. Спасибо!

Answer 1

[Петровский]

Не видит — что это значит? ping, traceroute?

AllowedIPs — это те адреса, которые должны от этого пира "приходить". Соответственно, на роутере Asus 192.168.50 для его удалённого пира AllowedIPs должны быть 10.6.0.0/24, 192.168.6.0/24.

Для Keenetic для его пира AllowedIPs должны быть 10.6.0.0/24, 192.168.50.0/24.

В интерфейсы WG не должно быть маскарадинга, и файрволл должен разрешать прохождение пакетов.

Маршруты WG прописывает сам на основании AllowedIPs, вручную их прописывать не надо.

Comments

[Петровский]

https://support.keenetic.ru/eaeu/air/kn-1611/en/21... например тут

https://www.procustodibus.com/blog/2020/12/wiregua...

https://interface31.ru/tech_it/2022/03/organizaciy...