Как правильно построить статический маршрут за клиента Wireguard?

Question

[Серёга]

Здравствуйте!
Задача следующая: увидеть подсеть за клиентом Wireguard (Далее WG).
Данные:
Если коротко: Подсеть ASUS, с сервером WG, не видит подсеть, клиента WG, за Keenetic, а Keenetic видит подсеть за ASUS.
Если развёрнуто:
Роутер ASUS, с подсетью 192.168.50.0/24 (шлюз 192.168.50.1), является сервером WG, с подсетью 10.6.0.0/24 (шлюз 10.6.0.1).
Есть клиент WG 10.6.0.5, Keenetic с подсетью 192.168.6.0/24 (шлюз 192.168.6.1).
Проблема: из под основной сети ASUS с сервером WG, не видно сеть 192.168.6.0/24 за клиентом WG, при этом устройствам в сети 192.168.6.0/24 видно сеть за сервером WG 192.168.50.0/24.

Что было сделано:
В настройках WG как клиента так и сервера AllowedIPs = 0.0.0.0/0
Маршрут на ASUS:
Сеть назначения 192.168.6.0, шлюз 10.6.0.5, интерфейс LAN.
Маршруты на Keenetic:
Сеть назначения 192.168.50.0/24, шлюз 10.6.0.1, интерфейс LAN,
Сеть назначения 10.6.0.0/24, шлюз 10.6.0.1, интерфейс LAN.
В межсетевом экране keenetica, открыл полный доступ по протоколам ip/udp/tcp через интерфейс WG.

Пожалуйста подскажите куда копать. Спасибо!

Answer 1

[Петровский]

Не видит — что это значит? ping, traceroute?

AllowedIPs — это те адреса, которые должны от этого пира "приходить". Соответственно, на роутере Asus 192.168.50 для его удалённого пира AllowedIPs должны быть 10.6.0.0/24, 192.168.6.0/24.

Для Keenetic для его пира AllowedIPs должны быть 10.6.0.0/24, 192.168.50.0/24.

В интерфейсы WG не должно быть маскарадинга, и файрволл должен разрешать прохождение пакетов.

Маршруты WG прописывает сам на основании AllowedIPs, вручную их прописывать не надо.

Comments

[Петровский]

https://support.keenetic.ru/eaeu/air/kn-1611/en/21... например тут

https://www.procustodibus.com/blog/2020/12/wiregua...

https://interface31.ru/tech_it/2022/03/organizaciy...

[Серёга]

Спасибо! Почему-то в голове сидело, что AllowedIPs - это разрешающее правило, без маршрутизации.
Плюс ещё на асусе своеобразная настройка WG.
В итоге получилось так:

На асусе в настройках я указал, что сервер (по факту клиент keenetik) сидит с адресом 10.6.0.5/32 и подсетью 192.168.6.0/24, а клиент (по факту сервер WG на асусе) сидит с адресом 10.6.0.1/32 и подсетью 192.168.50.0/24.

Файл экспорта который я загружал на кинетик.

[Interface]
PrivateKey = [удалено]
Address = 10.6.0.5/32
DNS = 10.6.0.1

[Peer]
PublicKey = [удалено]
PresharedKey = [удалено]
AllowedIPs = 10.6.0.1/32,192.168.50.0/24
Endpoint = IP адрес сервера
PersistentKeepalive = 25

Так же на стороне клиента(Keenetic) прокинул маршрут до сети где указать подсеть сервера 192.168.50.0/24 без шлюза и интерфейс WG.
На асусе маршрутов не прокидывал.