> Так я сегодня утром пинговал и пинги успешно проходят.
стало быть, всё работает. можно попробовать зайти через ssh, скорее всего успешно получится
> Заворачивается http, может лучше так сделать:
http не заворачивается, он также проходит. но уже внутри http вы имеете 403 — посмотрите в логе (ssh logread), почему uhttpd/luci отвечают вам 403.
Так нельзя. Во-первых, маски перекрываются, во-вторых, с мастер-роутера должно быть только 10.7.0.2/32: потому что к нему с другой стороны будут приходить только такие адреса и никаких других. Правильно?
> В вашем конфиге: AllowedIPs = 10.7.0.2/32, 192.168.2.0/24
Здесь маски не перекрываются
> причем 0.0.0.0/24 выставил я, чтобы трафик мог ходить куда угодно
рядом с 0 должен быть /0, т. е. "0.0.0.0/0". Но "куда угодно" вам не нужно, не нужно весь трафик слать на VPS, который только используется для соединения сетей.
Кэш можно просто очистить или открыть гостевой профиль, но не надо appimage, браузера и кэша. Вы убедились, что трафик ходит за роутером нормально, маршрутизация есть. Теперь только узнать, куда уходит пакет из локалки, используйте tcpdump -i wg0 icmp и пингайте. Придётся посмотреть tcpdump и на роутере локалки, на нём интерфейс WG будет называться иначе, смотреть через ip a.
Также ранее обманул: на роутере OpenWRT AllowedIPs для пира должен стоять 10.7.0.0/24. Это нужно, чтобы при автоматическом создании маршрутов до VPS заруливался только этот трафик, а интернет шёл мимо VPS.
Дамп конфига
VPS pivpn
[Interface]
PrivateKey =
Address = 10.7.0.1/24
MTU = 1420
### begin Openwrt1 ###
[Peer]
PublicKey =
PresharedKey =
# Вторая сеть -- это локалка, куда маршрутизируются пакеты в моём случае. У вас MASQ, не нужно
AllowedIPs = 10.7.0.2/32, 192.168.2.0/24
### end Openwrt1 ###
Также надо поправить /etc/pivpn/wireguard/setupVars.conf для будуших клиентов, если надо:
pivpnPERSISTENTKEEPALIVE=25
Openwrt1
IP Adresses: 10.7.0.2/24
No Host Routes: не стоит
Advanced settings: Use default gateway: стоит
Peers - ваш пир:
Allowed IPs: 10.7.0.0/24
Route Allowed IPs: стоит
Persistent KeepAlive: 25 (важно, иначе будет отваливаться маршрутизация с обратной стороны)
У меня для простоты интерфейс WG помещён в группу LAN файрволла, поэтому проблем с маршрутизацией нет.
TON кину, когда решите, и когда разберусь, как это делается, спасибо) Сам долго разбирался, вот помог вам.
tcpdump -i wg0 tcp port 80
tcpdump -i wg0 tcp port 80 and host 10.7...
tcpdump -i wg0 -c 4 tcp port 80 and ...
Всё верно. Только что проверил. А сам запрос отправляли?
Чуть позже скину вам дамп работающей конфигурации, такая же схема