Wireguard, не уходит трафик от локальной сети к удаленным клиентам

[Tolyak262]

Здравствуйте. Мигрировал с Mikrotik ax2 на Keenetic Giga (KN-1012) совсем недавно. Пытаюсь настроить Wireguard сервер, доступ к локальным ресурсам есть с моего рабочего компа и телефона я получаю нормально. Но в обратную сторону трафик не идет, даже не пингуется толком. В том числе раздача интернета и доступ к статистическим маршрутам рабочего VPN отсутствует. Без VPN, подключившись к роутеру через Wi-Fi или по кабелю, интернет и ресурсы за рабочим VPN работают 100%.

Пытаюсь пинговать рабочий комп, подключенный через Wireguard сервер на роутере, пинги не проходят. Windows Firewall отключен

Spoiler

Пингую с рабочего компа свой домашний комп, с которого и пинговал рабочий комп

Spoiler

Пингую с самого роутера, тоже все нормально

Spoiler

Делал по этим инструкциям

https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

https://help.keenetic.com/hc/ru/articles/360010408000-Подключение-по-протоколу-WireGuard-VPN-из-Windows-10

серверное wg-server подключение настроено как 192.168.99.1, имеет 2 пира (телефон 99.10 и рабочий пк 99.11) 

Для серверного "wg-server" подключения прописано правило в Firewall роутера для протокола IP разрешены все Source и Destination IP

В маршрутах прописан статистический 192.168.99.0/24 маршрут через интерфейс wg-server

т.е. запросы от wireguard клиентов идут, а в ответ им ничего не приходит. Можете подсказать, куда копнуть, чтобы это исправить?

WireGuard подключение в Windows настроено так

[Interface]
PrivateKey = ключ
Address = 192.168.99.11/24
DNS = 192.168.99.1

[Peer]
PublicKey = ключ
AllowedIPs = 192.168.99.1/32, 192.168.1.0/24, 0.0.0.0/0
Endpoint = белый-айпи-wg:порт-wg
PersistentKeepalive = 25

На телефоне Android 13 тоже ничего не работает.

в конфиге роутера прописаны опции

Spoiler

interface Wireguard0 security-level private

ip nat Wireguard0

 

Изменено 25 ноября пользователем Tolyak262

[stefbarinov]

В МСЭ добавлено разрешающее правило на интерфейс WG для протокола ip?

[Tolyak262]

31 minutes ago, stefbarinov said:

В МСЭ добавлено разрешающее правило на интерфейс WG для протокола ip?

для интерфейса wg сервера создано такое правило

Spoiler

 

[Tolyak262]

Пользуясь командой show ip nat tcp смотрю как работает NAT на wg интерфейсе роутера

================================================================================
Type | In  | Source           Port     Destination      Port     Packets
     | Out |
================================================================================
TCP          192.168.99.100   58555    199.232.214.172  80       5
             199.232.214.172  80       192.168.99.100   58555    0
--------------------------------------------------------------------------------

99.100 - тестовая виртуалка, где поднята винда с тестовым клиентским wg подключением

и чтобы я получил доступ к интернету, а конкретно к адресу 199.232.214.172, вместо Destination Out 192.168.99.100 должно стоять "мой белый айпи" как на 1.15 машине из локалки роутера где интернет ресурсы работают прекрасно

================================================================================
Type | In  | Source           Port     Destination      Port     Packets
     | Out |
================================================================================
TCP          192.168.1.15     43225    92.248.252.178   55500    4
             92.248.252.178   55500    мой-белый-айпи   43225    3
--------------------------------------------------------------------------------

ОК, я прописал в Firewall роутера для домашней сети правило где указал протокол IP и подсеть назначения 99.0/24 и тогда все что находится за подсетью 99 wg сервера пингуется и я полностью связал свой рабочий пк со своей домашней сетью без каких-либо проблем теперь.
Но вот, что делать с интернетом, как его заставить работать? То, что советуют включить NAT для WG интерфейса и security-level поменять с public на private, это никак не помогает в этом плане. 

Изменено 26 ноября пользователем Tolyak262

[Tolyak262]

no isolate-private

и ручное добавление NAT

ip nat 192.168.99.100 255.255.255.255

помогли. Интернет заработал на wg клиенте 99.100.

Но с точки зрения безопасности правильно ли отключать изоляцию private интерфейсов, мне пока не понятно и какой смысл включать ip nat Wireguard0 целиком для интерфейса когда как показала практика, все равно требуется прописывать вручную запись NAT, мне тоже пока что не совсем понятно. 

Изменено 26 ноября пользователем Tolyak262