Траффик между Wireguard и OpenVpn

[Kostian90]

Доброго времени суток!

Как заставить ходить траффику между wireguard сервером и openvpn клиентом ? 

Поднят сервер wireguard с адресом 192.168.6.0 для рабочей сети с доступом в локальную сеть keenetic 192.168.4.0. Подключен openvpn клиентом к другой сети с адресом внутри openvpn 192.168.2.0, и сетью за сервером 192.168.0.0. 

Маршруты прописаны для доступа сетям через подключения, все работает. Но как заставить ходить траффику между wireguard и openvpn? Например из сети 192.168.6.0 в 192.168.0.0

Спасибо! 

[vasek00]

4 часа назад, Kostian90 сказал:

Как заставить ходить траффику между wireguard сервером и openvpn клиентом ? 

Если маршрутами.

Вариант заворачивал клиента SSTP/wireguard (сервер на роутере) на VPN канал wireguard (на роутере) -> банальным стат.маршрутом, так как клиент который подключается имеет IP адрес.

interface Wireguard0 **** выход в интернет
    description Cloud-warp
    security-level public
...

interface Wireguard3 *** сервер для клиентов
    description KN-WG
    security-level public ?????
    ip address 10.16.130.101 255.255.255.0
...
    endpoint 10.16.130.6:хххх
    keepalive-interval 30
    allow-ips 10.16.130.6 255.255.255.255
    allow-ips 192.168.130.0 255.255.255.0
    allow-ips 0.0.0.0 0.0.0.0

sstp-server
    interface Home
    pool-range 172.16.1.101 2
    multi-login
    static-ip User***** 172.16.1.29
    lcp echo 30 3

ip policy Policy0 **** профиль cloudflare warp с WG
    description Cloud
    permit global Wireguard0


ip nat Wireguard3
ip nat sstp

В итоге клиент WG имеет ip-10.16.130.6 а при SSTP имеет ip-172.16.1.29. По умолчанию данный клиент использует выход в интернет через основной профиль в данном случае просто провайдера. Есть созданный профиль Policy0 (cloudfalre warp) в котором только данный канал Wireguard0 и автоматом для него создана table 42 (прошивкой роутера). Прописать стат маршрут для данного клиента, завернув его с интернет

ip rule add from 10.16.130.6 table 42

где table 42 это таблица маршрутизации для cloudfalre warp или Policy0

Для SSTP клиента заменить на его ip. В итоге у клиента меняется выход в интернет или провайдер или поднятый VPN wireguard или SSTP - роли не играет эфто все сетевые интерфейсы.

Интернет----------[WAN-pppoe]Keenetic[WG-сервер]--Интернет--[клиент-WG]Kлиент
Интернет------[WG-cloud-warp]+

Интернет----------[WAN-pppoe]Keenetic[SSTP-сервер]--Интернет--[клиент-SSTP]Kлиент
Интернет------[WG-cloud-warp]+


КлиентА--Keenetic1[WG-сервер]--Интернет--[клиент-WG]Keenetic2[WG-сервер]--Интернет--[клиент-WG]KлиентВ

Ремарка "странности" - сейчас 4.0.14 проверил "security-level public" для WG3 (сервер wireguard на роутере для клиентов) именно public должен стоять, ранее использовал "private" в данном варианте схемы. Это проверено именно "public" работает.

При добавление еще одного WG между двумя роутерами клиент про который выше речь без проблем выходит в удаленную лок.сеть дургого Keenetic через канал WG. Тут только стат маршрут для связи двух сетей.

 

 

Единственная проблема это прописать маршрут средствами WEB или cli не возможно, с установленным Entware возможно.

 

Изменено 24 марта, 2023 пользователем vasek00