Возьмеи роутер Ц - он имеет маршрут 0.0.0.0/0 через шлюз провайдера. При подключении впн появляется локальный маршрут 10.253.253.0/24. Можно оставить маршрут до роутера А через шлюз провайдера, но запмсать 0.0.0.0/0 через впн Б.
По нату - обычно это выглядит как "всë во внешний порт". Если взять условный микротик, можно указать какие именно сети по адресам выпускатт в интернет.
Дополнительного, сеть впн может тоже натиться, а может маршрутизироваться, во втором случае отсутствие маршрути на А и Б до внутренней сети Ц закроет дыру с лишним доступом.
Одного впн сервера должно быть достаточно для обоих клиентов, второй сервер не нужен
bassoon48, во-первых, общайтесь уважительно, нечего тут ТЫкать, вы сюда за помощью пришла или где?
Во-вторых цитируя вашу статью "Данная статья написана с целью понимания основ технологии Port Knocking на базе личного опыта и материалов из интернета, изученных перед её использованием". В отличие от автора, я свои знания получил у сертифицированного тренера по Микротику и сам имею сертификаты.
В-третьих, цепочки являются независимыми сущностями и не меняют порядок обработки, но чего вам объяснять, вы же не за ответом пришли, так что делайте как хотите и никого не спрашивайте, тут же дауны сидят
Во-первых, на какой системе у вас развёрнут wg? Для линуксов с iptables вариант один, для микротиков другой. Ваша проблема решается через dst-nat, вопрос только в платформе
Виталий, если серваку с Керио хватает портов, чтобы отдать телефонию отдельной дыркой, можно вообще не париться с вланами. И если, при этом, в длинках никто кроме телефонов не живет. Если надо отделить сетку для компов от сетки телефонов в одном свитче - без вланов не обойтись
Не знаю, как именно настроена телефония, должна ли АТС сидеть во влане провайдера, если да - то влан провайдера придется пробрасывать внутрь вашей сети. Самим телефонам влан с сетью провайдера вряд ли нужен, им на АТС надо зодить для звонков
TSR2013, для пира Address не нужно делать с маской 32, он должен быть в одной адресной зоне с сервером, хотя бы 30 используйте, если будет клиентов больше - то и 24 не ошибка.
В конфиге сервера менять маску 32 в AllowedIPs не обязательно - это просто строго ограничивает возможные адреса С КОТОРЫХ можно подключиться. Если клиентов будет больше - можно будет маску расширять.
TSR2013, вы не туда перенесли восклицательный знак -d ! 10.27.190.0/24
Попутно покажите traceroute 10.27.190.1
Кстати, только пинг не работает или ssh 10.27.190.1 тоже?
TSR2013, Просто ваш построутинг заворачивает все обращения в маскарад, в том числе и в саму сеть wg и коннект пропадает. Поставьте пробел между ! и адресом сети, ошибка должна пропасть
TSR2013, вы принципиально замазали все роуты не относящиеся к wg? Если хотите траблшутинг - давайте полную информацию. По тому что я вижу - wg настроен неправильно и коннекта быть не может, т.к. надо сначала установить соединение, а потом поднимать wg. Если клиент и сервер в одной и той же сети - пробросы портов роутера по боку. По обрывочным данным - сервер имеет адрес 192.168.1.36, клиент должен иметь что-то похожее, например 192.168.1.236. Следовательно в конфиге сервера wg listen port - порт не роутера а сервера, скорее всего номера совпадают, а в конфиге клиента endpoint - должен быть адрес сервера 192.168.1.36 (если моё предположение об одной локальной сети верно).
Maksim Herasim, так в том и дело, что нам неизвестно что за софт стоит на ПК и насколько параноик начальник. Из данной инфы сделать 100% точный вывод нереально
TSR2013, с сервером понятно, а на клиенте таблица маршрутов какая? Я правильно понял, что сеть 10.27.190.0/24 это wireguard? В таком случае подключения вообще не должно быть, т.к. сервер должен слушать на своем физическом интерфейсе, в вашем случае вайфай и адрес клиента тоже должен быть в этой сети
Тимон, если у вас есть доступ к микротик-маршрутизатору, можно сделать так - качаете себе нужную прогу,вешаете на микротике правило с логом на свой адрес и пытаетесь подключаться, добавляя правила, запрещающие то, что попадает в логи выше правила с логом. Как перестанет подключаться - бинго! Потом меняете свой адрес в запретах на адрес сети и у всех все заблочится
Дмитрий Береза, прямой IP - это белый статический?
Если проверять с локального компа на внешний адрес роутера - может быть проблема из-за обратного ответа - сервер может отвечать напрямую, не через роутер. Это лечится с помощью hairpin nat. Но проще не париться и с мобилки проверять
vitz84, для начала у вас должен быть план - кого куда в какое адресное пространство вы хотите посадить. На основании плана вы настраиваете вланы под каждую задачу. Настраиваете шлюзы - один маршрутизатор может быть шлюзом нескольких сетей, имея адрес в каждой. Отдаете транки с маршрутизатора на коммутаторы в том количестве в котором они будут нужны - если не нужна телефония в конечном коммутаторе - можно такой влан в транк не добавлять. Конечных пользователей вы подключаете к коммутаторам и на коммутаторах определяете какой влан повесить на какой порт исходя из типа оборудования - телефон, комп и т.п.
Влан по умолчанию обычно имеет 1 номер - если порт не принадлежит другому влану - он принадлежит первому. Бывают ситуации, когда порт исключен из всех вланов, но это уже вырожденный вариант, в новых свитчах, которые еще никто не конфигурил, все в первом. В качестве первого влана можете использовать офисную сеть для компов пользователей, чтобы любой подключенный комп автоматически имел все необходимые ресурсы сети.
По нату - обычно это выглядит как "всë во внешний порт". Если взять условный микротик, можно указать какие именно сети по адресам выпускатт в интернет.
Дополнительного, сеть впн может тоже натиться, а может маршрутизироваться, во втором случае отсутствие маршрути на А и Б до внутренней сети Ц закроет дыру с лишним доступом.
Одного впн сервера должно быть достаточно для обоих клиентов, второй сервер не нужен