Добавление маршрутов в Wireguard интерфейс.

[henry.pootel]

Имею KeeneticOS version 4.03.C.5.0-0 (Keenetic 4G+)

Wireguard поднимается, все хорошо. IP на интерфейсе 172.16.1.5/28
Указываю в пире:
 

      allow-ips 192.168.123.0 255.255.255.0
      allow-ips 172.16.0.0 255.255.252.0

А где маршруты на эти сети? В списке виден маршрут только на сеть самого туннеля. Или я неправильно понимаю allow-ips ? 
 

(config)> show ip route
================================================================================
Destination         Gateway          Interface                        F  Metric
================================================================================
.............
172.16.1.0/28      0.0.0.0          Wireguard0                       U  0

По указанным в aalow-ips сетям маршрут идёт в дефаулт. Могу руками сделать workarround , но почему не работает allow-ips ?
 

ip route 192.168.123.0 255.255.255.0 Wireguard0
.....

 

[Denis P]

7 минут назад, henry.pootel сказал:

Или я неправильно понимаю allow-ips ? 

Не правильно понимаете, без ручного указания маршрута чуда не произойдет

[henry.pootel]

А каков смысл allow-ips тогда? 

[constgen]

2 часа назад, henry.pootel сказал:

А каков смысл allow-ips тогда? 

Это указывает Ваергарду какие пакеты шифровать и расшифровывать (идущие к этим и из этих IP). Без шифрования они просто отбрасываются как не доверенные. Это для безопасности, чтобы никто снаружи не смог вмешаться в трафик туннеля.

Приложение Wireguard на Windows действительно создаёт 1 к 1 маршруты в ОС согласно Allowed IPs. И делает это автоматически когда интерфейс UP. И это кажется логичным и правильным. Почему этого не сделано в роутере - хороший вопрос. Я сам топлю за такое же улучшение Wireguard в Кинентик. Давайте за это голосовать. Может кто-то объяснит почему маршруты не должны совпадать с Allowed IPs?

Edited July 12, 2025 by constgen

[Denis P]

4 минуты назад, constgen сказал:

Я сам топлю за такое же улучшение Wireguard в Кинентик

Что будем делать когда в allow ips 0.0.0.0/0? 

[henry.pootel]

В linux тоже поднимается маршрут на сети из allow-ips. 

Это правильно. Статикой писать маршрут на интерфейс, который в дауне, например? Как? 

Очень логично поднимать маршрут вместе с интерфейсом WG. 

[henry.pootel]

11 часов назад, Denis P сказал:

Что будем делать когда в allow ips 0.0.0.0/0? 

Так и поднимать default gw. Раз так хочет админ. Что такого? 

[Denis P]

51 минуту назад, henry.pootel сказал:

Так и поднимать default gw. Раз так хочет админ. Что такого? 

если их 5 10 20?

[Denis P]

54 минуты назад, henry.pootel сказал:

Статикой писать маршрут на интерфейс, который в дауне, например? Как? 

пишите, веб и cli это позволяет

[henry.pootel]

3 минуты назад, Denis P сказал:

если их 5 10 20?

В компутерных ОС работает же. 

[Denis P]

41 минуту назад, henry.pootel сказал:

В компутерных ОС работает же. 

как именно работает? давайте разберемся с этим) 
если у вас будет 5 интерфейсов с дефолтным маршрутом 0.0.0.0/0 точно ничего хорошего не произойдет
Для этого кинетик и не делает дефолтный роут, а используются политики (приоритеты) подключений и статические маршруты, чтобы четко разделять через что и куда должны ходить пакеты. Да, это немного сложнее, но более гибко и наглядно.
Ничего плохого в этом не вижу, но я и не разработчик, только высказываю свое субъективное мнение

Edited July 13, 2025 by Denis P

[hoaxisr]

1 час назад, Denis P сказал:

Для этого кинетик и не делает дефолтный роут, а используются политики (приоритеты) подключений и статические маршруты, чтобы четко разделять через что и куда должны ходить пакеты. Да, это немного сложнее, но более гибко и наглядно.
Ничего плохого в этом не вижу, но я и не разработчик, только высказываю свое субъективное мнение

Абсолютно такое же поведение как у кинетик реализовано на openwrt - часть роутинга, который обеспечивает allowed-ips игнорируется и маршруты не создаются. Причина, я думаю, как в том, что вы описали, дефолт маршрут 0.0.0.0/0 на нескольких wireguard интерфейсах.

[henry.pootel]

Наверное, большой список маршрутов убъет память и процессор в небольших устройствах. Поэтому сервис не поднимает маршруты. А 0.0.0.0 - что бояться? Вопрос же не в правильности работы рутера в целом, а в функционале настройки. 

Ок. Спасибо всем, кто откликнулся, решение со статическими маршрутами - решение (хоть и подразумевает маршрут на возможно выключенный интерфейс, линукс бы ругались на такое). 

Голосую за автоматическое добавление маршрутов из списка allow-ips, как это в компьютерных ос с ответственностью на админа

[Denis P]

3 минуты назад, henry.pootel сказал:

линукс бы ругались на такое

это кто вам такое сказал? 
даже цельный onlink есть, для того чтобы принудительно указать "возможно" недоступный шлюз за конкретным интерфейсом

[krass]

А почему этот пост не в Развитии?

[constgen]

6 часов назад, krass сказал:

А почему этот пост не в Развитии?

Он начинался с вопроса, а это я потом завёл тему, что было бы лучше....

23 часа назад, Denis P сказал:

Что будем делать когда в allow ips 0.0.0.0/0? 

Сложно ответить. Первое что приходит в голову, надо бы проверить что делает Десктопная программа Wireguard. Думаю в целом маршрут должен вести себя так же как и дефолтные маршруты других интерфейсов - "бороться за первенство" в Системной политике или политике, куда их добавили.

[Le ecureuil]

Десктопная программа делает так, чтобы было удобно чайникам ничего не понимающим "воткнуть и забыть", плюс на компе нет маршрутизации сложной. На роутере такая автоматика вредит. Рассматривайте Wireguard как IPSec с интерфейсом: вам нужно не только политику прописать, но еще и роутинг в этот интерфейс.

[Quqas Wased]

В 12.07.2025 в 23:55, Denis P сказал:

Что будем делать когда в allow ips 0.0.0.0/0? 

а что делаем прямо сейчас? если как раз с  0.0.0.0/0 проблем и нету