Настройка Wireguard для доступа к локальной сети

Есть два способа это сделать. Можно создать отдельную VPN подсеть, и маскарадить из неё в основную подсеть(правильный вариант). Можно выдавать клиентам IP прям в основной подсети(неправильный вариант, но иногда необходимый), тогда маскарадить их наоборот не нужно, а в конфиг wg сервера нужно добавить опции для проксирования arp запросов между интерфейсами, вроде такого

PostUp = sysctl net.ipv4.conf.wg0.proxy_arp=1

PostUp = sysctl net.ipv4.conf.enp5s0.proxy_arp=1

В любом случае, порт wg должен быть доступен снаружи

Пример конфигов Wireguard

На сервере:

[Interface]
ListenPort = 25012
PrivateKey = XXX
Address = 192.168.0.100/24

[Peer]
PublicKey = aaa
AllowedIPs = 192.168.0.101

[Peer]
PublicKey = bbb
AllowedIPs = 192.168.0.102

[Peer]
PublicKey = ccc
AllowedIPs = 192.168.0.103

У клиентов:

[Interface]
PrivateKey = AAA
ListenPort = 25012
Address = 192.168.0.101/24

[Peer]
PublicKey = xxx
AllowedIPs = 192.168.0.0/24
Endpoint = IP:25012

Спасибо, попробую. Небольшой вопрос про это: «В любом случае, порт wg должен быть доступен снаружи»

Это понятно - сделать проброс порта на роутере. На какой адрес делать проброс порта: на адрес сервера, или на адрес интерфейса wg0 ?

На адрес сервера

А третьего, единственного правильного варанта, в Wireguard нельзя сделать? Отдельная VPN-подсеть и чистый роутинг без NATов и маскарадов. Ну там push route на клиента какой-нибудь?

Wireguard создаёт «виртуальное подключение» и конфигурацией остального занимается меньше любого другого виденного мной VPN.Что вы там накуролесите с маршрутами и NAT — не его дело вообще. Этакая «настройка витой пары для дому па к локальной сети», по две темы в неделю, и в каждой с умным видом рассуждают, может витая пара в такую-то подсеть и роутинг или нет.