Связать несколько удалённых подсетей по Wireguard

[farkhadlw]

Собственно, суть проблемы.

Дано: три кинетика (две Гига-1011, и один экстра), все стоят, работают, раздают интернет в свои сети. На одной Гиге (пусть будет Giga1) есть белый IP, к нему поднят wireguard с двух других роутеров - имеем два подключения WG: Giga1<=>Giga2 и Giga1<=>Extra. В пределах каждого из подключений всё хорошо и красиво, внутренняя сеть одного роутера видит внутреннюю сеть другого. 

Стоит задача сделать транзитную маршрутизацию из сети Giga2 в сеть Extra и назад.

Giga1: 172.16.1.1, 192.168.0.0/24 , publicIP 78.x.x.x

Extra: 172.16.1.2, 192.168.1.0/24

Giga2 172.16.1.3, 192.168.2.0/24 

 

[stefbarinov]

20 часов назад, farkhadlw сказал:

Стоит задача сделать транзитную маршрутизацию из сети Giga2 в сеть Extra и назад.

На сервере WG прописать маршруты в подсети Giga2 и Extra

На клиентах WG прописать маршруты в подсеть сервера WG и подсеть второго клиента через сервер WG (интерфейс WG на сервере)

Изменено 11 марта пользователем stefbarinov

[Dimka955]

У меня собственно очень похожая задача.

Giga1 publicIP внутри 192.168.1.0

Giga2 внутри 192.168.2.0

Тут маршрутизация работает, все ок.

Мобильные клиенты которым нужно в две подсети. Могут достучаться только в 192.168.1.0/24

Подскажите, такое реализуемо?

Изменено 12 марта пользователем Dimka955

[artaffar]

В 12.03.2025 в 13:56, Dimka955 сказал:

У меня собственно очень похожая задача.

Giga1 publicIP внутри 192.168.1.0

Giga2 внутри 192.168.2.0

Тут маршрутизация работает, все ок.

Мобильные клиенты которым нужно в две подсети. Могут достучаться только в 192.168.1.0/24

Подскажите, такое реализуемо?

Судя по всему, нет. Сам сейчас бьюсь с похожей задачей, но только через туннели IPsec и L2TP. Общаюсь с поддержкой.

Как я понял, KeeneticOS попросту запрещает транзитную маршрутизацию в удалённые подсети. Т.е. пакеты на нужный интерфейс приходят, но дальше только no response. Причём никакие правила межсетевого экрана и создание acl не помогают. Надеюсь, исправят эту недоработку, а то на микротик придётся переходить.

[Dimka955]

On 3/14/2025 at 10:21 AM, artaffar said:

Судя по всему, нет. Сам сейчас бьюсь с похожей задачей, но только через туннели IPsec и L2TP. Общаюсь с поддержкой.

Как я понял, KeeneticOS попросту запрещает транзитную маршрутизацию в удалённые подсети. Т.е. пакеты на нужный интерфейс приходят, но дальше только no response. Причём никакие правила межсетевого экрана и создание acl не помогают. Надеюсь, исправят эту недоработку, а то на микротик придётся переходить.

Аналогично, общаюсь с поддержкой. Правда они пока не отвечают (

[Dimka955]

On 3/10/2025 at 11:55 AM, farkhadlw said:

Собственно, суть проблемы.

Дано: три кинетика (две Гига-1011, и один экстра), все стоят, работают, раздают интернет в свои сети. На одной Гиге (пусть будет Giga1) есть белый IP, к нему поднят wireguard с двух других роутеров - имеем два подключения WG: Giga1<=>Giga2 и Giga1<=>Extra. В пределах каждого из подключений всё хорошо и красиво, внутренняя сеть одного роутера видит внутреннюю сеть другого. 

Стоит задача сделать транзитную маршрутизацию из сети Giga2 в сеть Extra и назад.

Giga1: 172.16.1.1, 192.168.0.0/24 , publicIP 78.x.x.x

Extra: 172.16.1.2, 192.168.1.0/24

Giga2 172.16.1.3, 192.168.2.0/24 

 

А эту инструкцию пробовали?

https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN

[Danich]

Доброго времени суток, господа! 

Хочу обсудить работу Wireguard и его возможностей, до этого юзал sstp для RDP и доступа к общим файлам, поскольку файлы были малы этого хватало, так же после добавлений всяческих vpn соединений за бугор мои устройства обросли слишком большим кол-вом сетевок и проксей и возможно поэтому соединение по SSTp подключившись, сразу падает на клиенте windows. 

Решил заменить протокол на wireguard, в качестве теста поднял на домашнем роутере VIVA сервер, пиры, все это продублировал на пирах, роутер настроен согласно всем имеющимся мануалам по кинетику, так же добавлены правила для доступа в локальную сеть. 

По итогу видно что к серваку пиры подключаются обмениваются пакетами, но пингануть пиры между собой не удается, так же пинга нет до локальной сети. 

Прошу помощи, по настройке и пробросу маршрутов.... может у кого то есть опыт для подобных задач. 

[vasek00]

3 часа назад, Danich сказал:

По итогу видно что к серваку пиры подключаются обмениваются пакетами, но пингануть пиры между собой не удается, так же пинга нет до локальной сети. 

При настройке WG вы делали правила firewall для данного интерфейса - либо ip или TCP+UDP, не пробовали добавить icmp.

[Danich]

я понял к чему вы клоните, позже нашел icmp но результата нет, склоняюсь к тому что WG попросту так не умеет. 

[Danich]

да и правила уже втупую начал все добавлять результата нет.