Den4ik_vrn Posted April 23 Posted April 23 Доброго времени суток. Поднял WG на роутере (нужно максимум юзеров 5 по впн). Всё отлично работает, только при настройке через WEB пишу нужную разрешённую подсеть 192.168.1.0/24. НО! При схранении конфига пишет - AllowedIPs = 0.0.0.0/0. Там же должно быть указано значение подсети? Или я не прав? Quote
Den4ik_vrn Posted April 23 Author Posted April 23 Ну и второй вопрос к разрабам - возможно ли повторно скачать конфиг? Такого по дефолту не наблюдаю. Quote
FLK Posted April 23 Posted April 23 18 минут назад, Den4ik_vrn сказал: Ну и второй вопрос к разрабам - возможно ли повторно скачать конфиг? Такого по дефолту не наблюдаю. удалить пира, создать заново Quote
FLK Posted April 23 Posted April 23 19 минут назад, Den4ik_vrn сказал: Доброго времени суток. Поднял WG на роутере (нужно максимум юзеров 5 по впн). Всё отлично работает, только при настройке через WEB пишу нужную разрешённую подсеть 192.168.1.0/24. НО! При схранении конфига пишет - AllowedIPs = 0.0.0.0/0. Там же должно быть указано значение подсети? Или я не прав? в разрешенных можно ничего не писать, если доступ нужен к домашней сети только с 192.168.1.0/24 Quote
Den4ik_vrn Posted April 23 Author Posted April 23 Спасибо. Так если же оставить дефолтом - AllowedIPs = 0.0.0.0/0, то маршрут в таблице операционки будет выглядить так: весь трафик в WG туннель. А мне нужен только трафик на указанную подсеть в туннель. Просто я думал, что значение "разрешённая подсеть" означает прописание в неё маршрута. Но, как я понимаю, данная формулировка отвечает за правило МЭ для подключения и хождения трафика. Quote
Leshiyart Posted April 23 Posted April 23 36 минут назад, Den4ik_vrn сказал: ерез WEB пишу нужную разрешённую подсеть 192.168.1.0/24. НО! При схранении конфига пишет - AllowedIPs = 0.0.0.0/0. там нужно писать удаленную сеть за пиром, а не локальную Quote
Den4ik_vrn Posted April 23 Author Posted April 23 1 минуту назад, Leshiyart сказал: там нужно писать удаленную сеть за пиром, а не локальную Вот сейчас явно не понял. Разрешённая сеть - эта та, какая разрешена на роутере для конкретного пира. Ну если я что-то в этом понимаю... А разрешённой модет быть любой VLAN на роутере... Что значит "удалённая сеть за пиром"? Quote
Leshiyart Posted April 23 Posted April 23 (edited) 9 минут назад, Den4ik_vrn сказал: сейчас явно не понял. Разрешённая сеть - эта та, какая разрешена на роутере для конкретного пира. Ну если я что-то в этом понимаю... А разрешённой модет быть любой VLAN на роутере... Что значит "удалённая сеть за пиром"? Это значит что там указывается сеть, в которую можно маршрутизировать, находящаяся за этим пиром например пир1, у него есть локальная сеть 192.168.10.0 есть пир2 у него локальная сеть 192.168.20.0 вои и если нам надо доступ к этим сетям мы их и пишем как разрешенные сети у этих пиров Edited April 23 by Leshiyart Quote
Den4ik_vrn Posted April 23 Author Posted April 23 (edited) 7 минут назад, Leshiyart сказал: Это значит что там указывается сеть, в которую можно маршрутизировать, находящаяся за этим пиром например пир1, у него есть локальная сеть 192.168.10.0 естт пир2 у него локальная сеть 192.168.20.0 вои и если нам надо доступ к доим сетям мы их и пишем как разрушенные сети у этих пиров Это я понимаю. НО на клиенте есть "разрешённые адреса". Это и есть в моём случае локальная сеть, так как мне по впн нужна только локалка. Маршрут 0.0.0.0/0 на клиенте весь трафик пульнёт в туннель. Далее трафик 192.168.1.0/24 пойдёт по маршруту, а весь остальной - застрянет на "конце туннеля", так как на удалённом роутере для него не будет правила для межсетевого и маршрута... Вот и вопрос был задан - на роутере настраиваю "разрешйнную подсеть", а на клиенте её не отображается. Если руками конфиг "подшаманить" - тогда всё прекрасно маршрутизируется... Edited April 23 by Den4ik_vrn Quote
Leshiyart Posted April 23 Posted April 23 (edited) 3 минуты назад, Den4ik_vrn сказал: на роутере настраиваю "разрешйнную подсеть" поэтому я и уточняю что вы пишите там не то что надо. а у клиента можно просто не ставить галку для доступа в инет и прописать маршрут в локальную сеть, если очень хочется то можно задать в разрешенных сетях уже у самого клиента нужную (не в настройках сервера) Edited April 23 by Leshiyart Quote
Den4ik_vrn Posted April 23 Author Posted April 23 (edited) Смотрите - я думал так это работает: пишем разрешённую подсеть. Если галка доступа стоит - в конфиг пишется маршрут 0.0.0.0/0 и на МЭ делается автоматом правило хождения трафика от клиента в подсеть и в wan роутера. Если нет указанной галки - на клиенте пишется маршрут только к указанной подсети. И на МЭ делается правило для хождения только в эту подсеть... На деле - хоть разрешён доступ, хоть нет - в конфиге маршрут "весь трафик в туннель" (0.0.0.0/0) И да - на клиентской стороне нет такого "разрешать" или "не разрешать" доступ в интернет. Доступ в сеть интернет - это маршрут. Кроме конфига в программе WireGuard для Windows нельзя сделать "маршрут по умолчанию" - нету там такого. Там есть AllowIPs - это и есть маршрут до подсети или узла.... Edited April 23 by Den4ik_vrn Quote
Leshiyart Posted April 23 Posted April 23 1 минуту назад, Den4ik_vrn сказал: Смотрите - я думал так это работает: пишем разрешённую подсеть. Если галка доступа стоит - в конфиг пишется маршрут 0.0.0.0/0 и на МЭ делается автоматом правило хождения трафика от клиента в подсеть и в wan роутера. Если нет указанной галки - на клиенте пишется маршрут только к указанной подсети. И на МЭ делается правило для хождения только в эту подсеть... по факту это работает не так, клиента в любом случае надо донастроить указав маршрут (в сценарии когда нужна только локалка) либо поставить галку для доступа в инет (если нужен весь трафик) от того что вы потом потыкаете на сервере галку ната, клиент эту настройку не получит, поэтому там 0.0.0.0 по умолчанию Quote
Den4ik_vrn Posted April 23 Author Posted April 23 1 минуту назад, Leshiyart сказал: по факту это работает не так, клиента в любом случае надо донастроить указав маршрут (в сценарии когда нужна только локалка) либо поставить галку для доступа в инет (если нужен весь трафик) от того что вы потом потыкаете на сервере галку ната, клиент эту настройку не получит, поэтому там 0.0.0.0 по умолчанию Вот в этом и был вопрос - толи так и "было задумано". Толи это "баг" или ещё что-то. Получается, что это первое. Получается, что на все вопросы я получил ответ. Спасибо Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.