wireguard: доступ от клиента в сеть другого клиента

0

1

Помогите, пожалуйста, настроить сабж.

Вводные: Имеется VPS, на ней поднят wireguard, к которому подключаются несколько клиентов из разных мест. Один из клиентов - это роутер без белого IP, за которым есть локальная сеть. Нужно, чтобы другой клиент, подключившийся к wireguard-серверу поимел доступ к локальной сети, находящейся за клиентом-роутером.

Вот конфиг сервера:

[Interface]
Address = 10.0.0.1/24
PrivateKey = kjhkdjfhuerhkjnckwueiufhnwcniwuehfiunwcnj4= 
ListenPort = 51820
PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
#Это клиент-роутер за которым сеть 192.168.1.0/24 (в нее должен получить доступ клиент, что ниже)
PublicKey = kljsdhfkjhskdjfhkjshdkjfhksjdhfkjh23jlk=
AllowedIPs = 10.0.0.2/32, 192.168.1.0/24

[Peer]
#Клиент, которому нужен доступ в подсеть
PublicKey = kjhdkfhksjdhfkjq3elkworwiouelcj8793= 
AllowedIPs = 10.0.0.3/32

Настройки wg на роутере (Keenetic) делаются через GUI, но примерно такие:

[Interface]
Address = 10.0.0.2/24
PrivateKey = kj876483658734695sdfkjhskjdhj4=
DNS = 8.8.8.8

[Peer]
#server
PublicKey = 98459849859594859485984958498ksdlkjlw23= 
AllowedIPs = 10.0.0.1/32
Endpoint = 185.105.106.107:51820

На этом этапе при поднятом туннеле с роутера на сервер пинги с сервера на клиент и в его подсеть идут нормально.
Т.е., на сервере:
ping 10.0.0.2 дает ответ
ping 192.168.1.1 дает ответ
ping 192.168.1.4 дает ответ

И вот подключается клиент, которому тоже надо в подсеть 192.168.1.0 за первым клиентом-роутером.

[Interface]
Address = 10.0.0.3/24
PrivateKey = k876543hdgsl8337sjsnx73737hxxh4=
DNS = 8.8.8.8

[Peer]
#server
PublicKey = 98459849859594859485984958498ksdlkjlw23= 
AllowedIPs = 0.0.0.0/0, 10.0.0.0/24, 192.168.0.0/24
Endpoint = 185.105.106.107:51820

Этот клиент подключается, может сидеть в интернете через туннель, но подсеть 192.168.1.0 не доступна для него. Как сделать доступной?

Ссылка

←	Не могу добавить запись в таблице Postgres

openmeetings и nginx

→

AllowedIPs = 0.0.0.0/0, 10.0.0.0/24, 192.168.0.0/24

Последний должен быть 192.168.1.0/24

MumiyTroll ★★★
(27.02.21 11:21:10 MSK)

Ответ на: комментарий от MumiyTroll 27.02.21 11:21:10 MSK

Опечатка

К сожалению, исправление не помогло.

le_
(27.02.21 11:44:29 MSK) автор топика

Ответ на: Опечатка от le_ 27.02.21 11:44:29 MSK

Значит надо крутить файрволл на кинетике.

MumiyTroll ★★★
(27.02.21 12:02:43 MSK)

Ответ на: комментарий от MumiyTroll 27.02.21 12:02:43 MSK

На кинетике для этого интерфейса все разрешено во все стороны. Скрин.
С клиента, которому нужен доступ пингуется только сам сервер (10.0.0.1).
10.0.0.2 не пингуется Ну, и 192.168.1.1 не пингуется.

le_
(27.02.21 12:28:36 MSK) автор топика

Ответ на: комментарий от le_ 27.02.21 12:28:36 MSK

Всё, заработало, как надо! На кинетике исправил AllowedIPs = 10.0.0.1/32 на AllowedIPs = 10.0.0.0/24.

le_
(27.02.21 12:32:15 MSK) автор топика

Ответ на: комментарий от le_ 27.02.21 12:32:15 MSK

Другой вопрос

Подскажите еще, пожалуйста, почему при такой настройке не работает VNC (обычный x11vnc) c клиента из туннеля?
Пинги идут, traceroute с клиента показывает нормальный маршрут, могу подключаться по ssh к машинам внутри сети 192.168.1.0/24, могу просматривать сайты, которые хостятся в этой подсети, но по VNC подключиться не получается. The connection closed unexpectedly.

le_
(27.02.21 23:43:24 MSK) автор топика

Ответ на: Другой вопрос от le_ 27.02.21 23:43:24 MSK

Вопрос снимается, там vnc был запущен с параметром -allow 192.168.1.

le_
(28.02.21 00:43:09 MSK) автор топика

Ссылка

4 января 2022 г.

Добрый день. Столкнулся с похожей проблемой. С сервера все клиенты пингуются, сеть за роутером тоже. А с клиентов пингуется только сервер. Думаю что-то не так с настройками iptables на сервере. Можете поделиться своей конфигурацией iptables?

ar_22
(04.01.22 11:51:21 MSK)