WIreGuard связь между с клиентами за натом.

Ну все нормально. Peer B у тебя видимо в роли «сервера», к нему подключаются peer A и C.

Поэтому он и может с ними общаться.

Поднимай для пира C и A отдельную сеть. Тогда в рамках маршрутизации все будет работать.

А по чему они не могут в одном адресном пространстве сети 10.9.9.0\24 общаться? все три пира

Могут.

1) На машине B net.ipv4.ip_forward должен быть включен
2) На машинах А и С - или нужно будет прописать «route» через B для сетки 10.9.9.0/24 или же дать B ip адрес 10.9.9.1 и wg-quick сам пропишет нужный роут (на А и С)

во общем
решил и я прикоснутся

Прикоснись к учебнику русского языка лучше. Пользу будет кратно больше.

В Wireguard пакеты отправленные в канал шифруются открытым ключом пира получателя.

В рамках одного адресного пространства пакеты адресуются посредством адреса физического устройства (мак адреса).

При подключении пира A к пиру B устанавливается соединение только между ними. И они знают ключи друг друга.

Пир B не знает ключ пира C.

Могут. Оно по дефолту так и работает. У тебя видимо сервер пакеты не форвардит. sysctl включи.

Ну там openwrt, я проверил там включен форвардинг /proc/sys/net/ipv4/ip_forward = 1

Так секунду я же все три пира прописываю на каждом из узлов, все знают ключи, всех участников.

Если тебе надо mesh, то для этого есть tinc и yggdrasil.

Тут собственно главный вопрос является ли WireGuard mesh сетью? По сути мне то нужно решить простую задачу, что бы клиенты были в одном адресном пространстве за NAT и что бы пакеты ходили от клиента до клиента минуя основной сервер.

Нет, конечно. Пакеты в любом случае через сервер идут.

У меня именно такая конфигурация и всё працюе. ¯_(ツ)_/¯

Т.е. один пир «сервер» с публичным IP и фиксированным портом, к которому коннектятся все остальные. При этом все могут общаться друг с другом.

ну вот они общаются трафик идет через сервер или между пирами преодолевая NAT?

Через сервер конечно. Мб ты A и C спарил? Этого делать не нужно.

Через сервер, AFAIK.

Могут.

WireGuard на B между пирами бридж делает что ли? А если да, то .ip_forward тут при чём? А то, если не бридж, одной сети там быть не может на двух разных пирах.

В качестве альтернативы могу предложить рассмотреть tailscale. Он также построен с использованием WireGuard протокола. Хосты за натом соединяются либо через upnp, либо через координационные сервера. Есть возможность пускать весь трафик через одну ноду (что обычно и делают с помощью VPN). В качестве координационного сервера можно использовать self-hosted вариант с открытым исходным кодом (headscale).

Ну вот я как раз от него пришел. Вообще конечно довольно обидно что пиры не будут видеть друг друга. Вроде когда они подключены то видны и внешние айпишники и удп-порты которые открыты уже, я то думал что клиенты через условный сервер могут обременятся ендпонитами и подключится на прямую друг к другу

Напрямую не всегда возможно, поэтому используется сторонний сервер. Тут подробно описано как в tailscale решили эту проблему: https://tailscale.com/blog/how-nat-traversal-works/

Получается на «сервере» прописываем всех пиров? А на «клиентах» только пир «сервера», других «клиентов» не прописываем?

PS. В Archwiki требуется дописать раздел для данного сценария использования Wireguard.

А я zerotier использую.

Требовать у провайдера ipv6 надо, а не костыли через сервера городить.

Получается на «сервере» прописываем всех пиров? А на «клиентах» только пир «сервера», других «клиентов» не прописываем?

Именно так и сделал.

Для таких целей лучше взять EdgeVPN

https://mudler.github.io/edgevpn/

Он работает через libp2p (библиотека проекта IPFS)

В отличие от упомянутых в этой теме tailscale и zerotier, не требует регистрации и смс

Попробуй так, сам не проверял..

# B, На C и A через B
AllowededIP = 10.9.9.B/32, 10.9.9.0/24
# C
AllowededIP = 10.9.9.C/32
# A
AllowededIP = 10.9.9.A/32

ггг, на сервере нат настрой, про ключи в треде уже писали и все будет работать.

В wireguard понятие сервера очень условное. Целевую конфигурацию вполне можно реализовать. С учетом NAT скорее всего придется использовать пир с реальным адресом в качестве координатора, но после установления соединения должно работать.

Топикстартеру рекомендую все же запостить все конфиги, предварительно убедившись, что все ключи и ip там совпадают (а перед публикацией – затерты).

Alloweded

Может, все-таки Allowed?

Требовать у провайдера ipv6 надо, а не костыли через сервера городить.

Ты ещё найди такого провайдера. Я вот на днях обнаружил, что у Ростелекома есть IPv6 и с виду даже рабочий. Попробовал. Через него ходит 2/3 трафика. Но одно но. Сам провайдер блокирует любые входящие соединения. Т.е. можно только TCP использовать для связи с внешним миром. Входящие подключения не работают даже если на маршрутизаторе разрешить прямо. С UDP тоже засада. Через соединение Wireguard как бы даже пинги ходят, но ничего, естественно, не работает из-за блокировки входящих пакетов на клиенте. И да, это не мои кривые руки, т.к. аналогичное соединение между серверами с полноценным IPv6 работает на ура.

Так что ни Wireguard, ни звонить, ни торренты покачать через IPv6 не получится.

Пните вашего провайдера в лицо за такую херню. А так ещё можно попробовать через брокера route48.org получить /48. Можно и за натом через wireguard получить.

Пните вашего провайдера в лицо за такую херню.

Меня просто удивило, что это хоть как-то работает. 5 лет назад я обзванивал всех доступных провайдеров в городе миллионнике. Но ни один не предоставлял IPv6 официально. Был один, но он не подключал в том месте, где я жил. Ну а тут я оформил заявку, мол криво работает IPv6. Позвонил «специалист» и сказал, что мы рекомендуем его отключать… Ну и что с таких взять? Если бы была достойная альтернатива, то понятное дело, сменил бы. Но у других и этого может не быть.

Есть и mesh-проекты на базе Wireguard.

Netmaker, например