Как подключиться из локальной сети к локальному серверу с vpn?

Question

[masonchickk]

Добрый день!
Не могу достучаться из локалки к wg0 10.0.3.1.
Есть роутер keenetic. В нем организована одна подсеть 192.168.1.0/24 (роутер 192.168.1.1). На raspberry pi (eth0 192.168.1.3) поднят wireguard (wg0 в конфиге интерфейса 10.0.3.1/32, и настроен forward eth0 to wg0 и wg0 to eth0 ). На роутере добавлен статический маршрут ip route 10.0.3.1/24 192.168.1.3. Маршрут добавляется в таблицу keenetic (destination: 10.0.3.0/24 gateway: 192.168.1.3 connection: home(это интерфейс локальной сети)). Теперь из web интерфейса роутера и через cli пингуется 10.0.3.1. С других компов в локалке не пингуется?! С компов traceroute на 10.0.3.1 показывает первый хоп до Гейта 192.168.1.1(роутер), дальше ***.

Answer 1

[masonchickk]

Andrey Barbolin Sand Спасибо всем за помощь. Пришел вроде к хеппи энду. Могу теперь достучаться и до wireguard клиентов из локалки и наоборот. Оказывается keenetic по дефолту блокирует межсетевым экраном хождение туда обратно между локальными подсетями. Можно даже не отделять raspberry в отдельный сегмент, ассиметричной маршрутизации похоже не возникает, как сказали в поддержке кинетика хотя сервер отправляет пакет напрямую а получает от кинетика это on-link сеть, непосредственно подключённая к серверу. Трафик на кинетике по умолчанию натится на любой интерфейс

Answer 2

[Sand]

У расбери маршрут в сеть 192.168.1.0/24 идёт через другой интерфейс надо пологать

Comments

[masonchickk]

Sand Заранее не кидайте камнями. eth0 rpi соединён с home keenetic и все остальные устройства своими интерфейсами тоже подключены к home. Если не сложно объясните для чайников)

[Sand]

masonchickk, в двух словах, до расбери доходит запрос в src address которого находится адрес отправителя, то есть компьютера, он смотрит свою таблицу маршрутизации и видит что у него есть интерфейс в этой же сети (192.168.1.3), с него он и пытается дать ответ, но, комп то ждёт ответа от 10.0.3.1. Обойти можно, как вон ниже Андрей написал

[masonchickk]

Sand Andrey Barbolin Спасибо, попробую разобраться на досуге. Убью 100лет времени, но думаю оно того стоит)

[masonchickk]

Sand, немного подумал и построил по вашим подсказкам следующую схему: ПК 192.168.1.4 отправляет пакет на 10.0.3.1, т.к это не его сеть, то отправляет пакет [src.192.168.1.4 dst.10.0.3.1] на гейт 192.168.1.1, который смотрит в таблицу маршрутизации и на гейт 192.168.1.3 отправляет пакет [src.192.168.1.4 dst.10.0.3.1], обратно уже пакет возвращается, если правильно вас понял [src.192.168.1.3 dst.192.168.1.4] и получается это отработал nat на rpi подменив src address

[Sand]

masonchickk, не nat это отработал, а таблица маршрутов на rpi, он не стал отвечать с 10.0.3.1 адресу 192.168.1.4, а ответил с 192.168.1.3. Наберите на rpi: ip route get 192.168.1.4