WireGuard и сетевые принтеры

[vbmisha]

Добрый день.

Настроил WireGuard по этой инструкции, вроде бы ничего сложно... Но возникла одна проблема...

Водные данные:

Роутер 1 (Москва) - 192.168.1.0, WG - 172.16.82.1, сервер.

Роутер 2 (Ставрополь) - 192.168.2.0, WG - 172.16.82.2, клиент.

МФУ 1 (Ставрополь) - 192.168.2.15

МФУ 2 (Москва) - 192.168.1.30

В результате:

Локальные ресурсы (принтеры, сетевые папки и т.д.) видны в обеих подсетях. Всё пингуется, трассировка проходит успешно. Веб-интерфесы МФУ открываются и т.д.

Но, из Москвы не удается оправить на печать в Ставрополь, т.е. печать ушла, а принтер молчит. При этом из Ставрополя в Москву все печатается.

Нюанс, из Москвы можно отсканировать документ на Ставропольском МФУ, т.е. сканирование работает, а печать нет.

Всю голову сломал, почему так... Предполагаю, что дело в маршрутизации... Прошу помощи!

[dmitry.a]

Может, NAT надо отключить для сегментов, но включить для них на конкретные внешние интерфейсы. Не уверен, что проблема в этом, но в инструкции про NAT я ничего не нашел.

[KeenTaur]

14 часов назад, dmitry.a сказал:

Не уверен, что проблема в этом, но в инструкции про NAT я ничего не нашел.

Да, тоже подумал, что проблема в NAT, о чем в инструкции по настройке WireGuard между двумя Кинетиками на данный момент, увы, не упоминается. И тоже с похожим столкнулся. Вроде удаленные подсети друг друга пингуют, файлы по smb туда-сюда копируются. А вот МФУ сканы на почтовый сервер не отправляет. В логе почтовика и увидел, что ip-адресок-то не МФУ-шный при коннекте. Поддержка предложила сделать примерно так:

no ip nat Home
ip static Home ISP
system configuration save

Соответственно, при появлении нового провайдера не забываем NAT через него прописывать ручками.

[vbmisha]

16 минут назад, KeenTaur сказал:

Да, тоже подумал, что проблема в NAT, о чем в инструкции по настройке WireGuard между двумя Кинетиками на данный момент, увы, не упоминается. И тоже с похожим столкнулся. Вроде удаленные подсети друг друга пингуют, файлы по smb туда-сюда копируются. А вот МФУ сканы на почтовый сервер не отправляет. В логе почтовика и увидел, что ip-адресок-то не МФУ-шный при коннекте. Поддержка предложила сделать примерно так:

no ip nat Home
ip static Home ISP
system configuration save

Соответственно, при появлении нового провайдера не забываем NAT через него прописывать ручками.

Здравствуйте.

Спасибо за ответ, но не могли бы Вы написать более подробно?

Это где вводить на сервере или на клиенте? И не совсем понял смысл этих команд. 

[KeenTaur]

- Сеня! Ты уже дошел до кондиции? У нас очень мало времени! Пей!

У меня минут десять сегодня еще есть, продолжить смогу в понедельник

Думаю, что по-хорошему, это надо сделать на обоих роутерах.

no ip nat Home - отключает автоматически созданный NAT из сегмента Home во все (внешние?) интерфейсы, в т.ч. и WireGuard

ip nat static Home ISP - влючает NAT из сегмента Home через интерфейс ISP провайдера, а из Home в  WireGuard nat'а уже не будет.

Home (сегмент, из которого нужно ходить в туннель) и ISP подставить свои.  У меня МФУ находится в Brige3, соответственно, было:

no ip nat Bridge3
ip static Bridge3 UsbLte0
system configuration save

 

Изменено Пятница в 13:57 пользователем KeenTaur

[dmitry.a]

Это надо на обоих сторонах, чтобы оба кинетика не использовали NAT для общей сети. Но это можно сделать через Web тоже.

Изменено Суббота в 10:38 пользователем dmitry.a

[vbmisha]

1 минуту назад, dmitry.a сказал:

Это надо на обоих сторонах, чтобы оба кинетика не использовали NAT для общей сети. Но это можно сделать через Web тоже.

Не подскажите как через Web? Был бы очень признателен.

[dmitry.a]

В Port forwardingвключается правило на все из домашнего сегмента во внешний (интернет). А в настройках самого сегмента выключается NAT.

Именно такое будет в Web, если сделать настройку через telnet.

 

[vbmisha]

Произвел все указанные настройки:

Москва (сервер):

 

 

Ставрополь (Клиент):

 

 

Но к сожалению, ничего не заработало. 

[KeenTaur]

Проверьте еще ваш МФУ в Ставрополе, нет ли у него своих ограничений на печать из других подсетей.

[vbmisha]

В 22.11.2025 в 23:04, KeenTaur сказал:

Проверьте еще ваш МФУ в Ставрополе, нет ли у него своих ограничений на печать из других подсетей.

МФУ (Pantum M6500NW) настолько простая... Какие там могут быть ограничения (хотя, на всякий случай я проверил, нет никаких настроек с вязанные с ограничением)...

P.S. В Москве стоит точно такой же МФУ (Pantum M6500NW) и из Ставрополя всё спокойно печатается.

Может брак МФУ...

[KeenTaur]

Из Ставрополя на ставропольский МФУ печатают? Если да, значит МФУ работает. (на тех аппаратах, что мне встречались, у HP, Kyocera фильтрация IP есть, но по умолчанию не была включена; а вот на Konika Minolta bizhub фильтрация была включена и разрешена печать только из локальной сети).

Роутеры после отключения NAT перезагружали? Также следует проверить межсетвевые экраны на роутерах. Можно попробовать разрешить временно весь IP-протокол между домашними сетями и Wireguard'ами. 

[MDP]

Сделайте внутри WG туннель сеть-сеть ...и наверное всё должно заработать