Как получить доступ к локальной подсети клиента, находящегося за NATом через тоннель WireGuard VPN?

Question

[Ajex]

Есть необходимость получить доступ к локальной подсети клиента, находящемся за NATом используя WireGuard тоннель.
Имеется:
Поднятый WireGuard сервер с белым интернет адресом x.x.x.x (внутренний 10.0.0.1)
Подключенные к нему клиенты:
Клиент 1 , подключенный к этому серверу (интерфейс1 10.0.0.2 , интерфейс2 192.168.0.1)
Клиент 2 , подключенный к этому серверу (10.0.0.3)
Все 3 хоста друг друга видят , трафик бегает. Однако мне необходимо с Клиента 2 получить доступ к подсети 192.168.0.0/24 Клиента 1.
Как правильно в данной ситуации настроить маршрутизацию и роутинг?
Системы хостов - не принципиально, допустим linux
VPN - WireGuard , да знаю про OpenVpn и и прочие, но в данной ситуации мне очень удобен именно WireGuard. Да и не принципиально.

Конфиг сервера wg0.conf

[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = ...
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat
[Peer]
PublicKey = ...
AllowedIPs = 10.0.0.2/32
[Peer]
PublicKey = ...
AllowedIPs = 10.0.0.3/32

Конфиг клиентов wg2.conf

[Interface]
PrivateKey = ...
ListenPort = 51820

[Peer]
PublicKey = ...
AllowedIPs = 0.0.0.0/0
Endpoint = x.x.x.x:51820
PersistentKeepalive = 21

Интерфейс клиентов

iface wg2 inet static
address 10.0.0.2
netmask 255.255.255.0
pre-up ip link add $IFACE type wireguard
pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf
post-down ip link del $IFACE

Comments

[Ajex]

Ура! Все получилось. Как и думал, что-то я не учел.
Проблема заключалась в том, что если в конфиге сервера /etc/wireguard/wg0.conf
не прописать параметр:
SaveConfig = false , то настройки для пиров стираются после поднятия интерфейса. В результате чего AllowedIPs = 10.0.0.2/32, 192.168.0.0/24 превращается в AllowedIPs = 10.0.0.2/32 и , как следствие, исходящий трафик блокируется .
Помогла вот эта статья https://jrs-s.net/2018/08/05/routing-between-wg-in...
Теперь все получилось, я спокойно могу получить доступ к локальной подсети любого пира, подключенного к тому же серверу WineGuard.

Собственно для успешной реализации моей задачи понадобилось следующее:

1). Устанавливаем WireGuard , я делал вот по этому мануалу https://habr.com/ru/post/474250/ прям там же на DigitalOcean.

2). На сервере в /etc/wireguard/wg0.conf делаем следующие изменения:
SaveConfig = false (чтобы не сбивались настройка доступов)
Для каждого пира пописываем подсеть, к которой мы хотим получить доступ, например
AllowedIPs = 10.0.0.2/32, 192.168.0.0/24 ,
перезагружаем конфиг

wg-quick down wg0 
wg-quick up wg0

3). на клиенте с интерфейсом 192.168.0.1 в файле /etc/network/interfaces я добавил 2 строчки для интерфейса wg-p2p
pre-up iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -o enp0s3 -j MASQUERADE
или просто можно прописать в перманентные правила
iptables -t nat -A POSTROUTING -o [ваш интерфейс] -j MASQUERADE

4). на том клиенте, с которого мы хотим получить доступ к локальной подсети, добавляем маршрут

route add -net 192.168.0.0/24 gw 10.0.0.2
<code>

P.S. не знаю, правда, чей ответ пометить решением, ибо помогли оба, спасибо.

Answer 1

[Алексей Черемисин]

Вам нужно установить маршруты на компухтерах в сети у вас и у клиента на роутеры, которые держат vpn. Чтобы они знали, куда пересылать пакеты для конкретных подсетей.
В конфигах wireguard разрешить соответствующие подсети.

Вот здесь подробнее - https://medium.com/@jmarhee/configuring-and-managi...

Answer 2

[r0ck3r]

Думаю, что Вам поможет следующее:
На компьютере с интерфейсом 192.168.0.1

#включим IP forwarding, если он не включен
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ИМЯ_ИНТЕРФЕЙС_С_192.168.0.1 -j MASQUERADE


На компьютерах из сети 10.x.x.x

route add -net 192.168.0.0/24 gw 10.0.0.2

Comments

[Ajex]

Спасибо, в принципе так и делал. Упростил себе задачу , пробую получить доступ к подсети 192.168.0.1 с сервера WireGuard. Вроде делаю все верно, но где-то видно туплю, ибо все равно не работает.

Т.е. на сервере прописал следующее:
route add -net 192.168.0.0/24 gw 10.0.0.2

вывод route

route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default х.х.х.1 0.0.0.0 UG 0 0 0 eth0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wg0
х.х.х.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0
192.168.0.0 10.0.0.2 255.255.255.0 UG 0 0 0 wg0

на клиенте с интерфейсом 192.168.0.1 такое:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE

вывод ping 192.168.0.1 с сервера

PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
From 10.0.0.1 icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Required key not available

tcpdump на клиентской тачке на интерфейсе wg молчит, т.е. ни каких пакетов к нему не прилетает

вывод iptables на серверной машине С которой пытаюсь достучаться до 192..

iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination