Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Настройка WG

Den4ik_vrn
 Поделиться

Рекомендуемые сообщения

Den4ik_vrn Пользователь

Den4ik_vrn

Опубликовано
Опубликовано

Доброго времени суток. Поднял WG на роутере (нужно максимум юзеров 5 по впн). Всё отлично работает, только при настройке через WEB пишу нужную разрешённую подсеть 192.168.1.0/24. НО! При схранении конфига пишет - AllowedIPs = 0.0.0.0/0. Там же должно быть указано значение подсети? Или я не прав?

FLK NetFriend

FLK

Опубликовано
Опубликовано
18 минут назад, Den4ik_vrn сказал:

Ну и второй вопрос к разрабам - возможно ли повторно скачать конфиг? Такого по дефолту не наблюдаю.

удалить пира, создать заново

FLK NetFriend

FLK

Опубликовано
Опубликовано
19 минут назад, Den4ik_vrn сказал:

Доброго времени суток. Поднял WG на роутере (нужно максимум юзеров 5 по впн). Всё отлично работает, только при настройке через WEB пишу нужную разрешённую подсеть 192.168.1.0/24. НО! При схранении конфига пишет - AllowedIPs = 0.0.0.0/0. Там же должно быть указано значение подсети? Или я не прав?

в разрешенных можно ничего не писать, если доступ нужен к домашней сети только с 192.168.1.0/24

Den4ik_vrn Пользователь

Den4ik_vrn

Опубликовано
  • Автор
Опубликовано

Спасибо. Так если же оставить дефолтом - AllowedIPs = 0.0.0.0/0, то маршрут в таблице операционки будет выглядить так: весь трафик в WG туннель. А мне нужен только трафик на указанную подсеть в туннель. Просто я думал, что значение "разрешённая подсеть" означает прописание в неё маршрута. Но, как я понимаю, данная формулировка отвечает за правило МЭ для подключения и хождения трафика.

Leshiyart Старожил

Leshiyart

Опубликовано
Опубликовано
36 минут назад, Den4ik_vrn сказал:

ерез WEB пишу нужную разрешённую подсеть 192.168.1.0/24. НО! При схранении конфига пишет - AllowedIPs = 0.0.0.0/0.

там нужно писать удаленную сеть за пиром, а не локальную

Den4ik_vrn Пользователь

Den4ik_vrn

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Leshiyart сказал:

там нужно писать удаленную сеть за пиром, а не локальную

Вот сейчас явно не понял. Разрешённая сеть - эта та, какая разрешена на роутере для конкретного пира. Ну если я что-то в этом понимаю... А разрешённой модет быть любой VLAN на роутере...

 

Что значит "удалённая сеть за пиром"?

Leshiyart Старожил

Leshiyart

Опубликовано
Опубликовано (изменено)
9 минут назад, Den4ik_vrn сказал:

сейчас явно не понял. Разрешённая сеть - эта та, какая разрешена на роутере для конкретного пира. Ну если я что-то в этом понимаю... А разрешённой модет быть любой VLAN на роутере...

 

Что значит "удалённая сеть за пиром"?

Это значит что там указывается сеть, в которую можно маршрутизировать, находящаяся за этим пиром

например пир1, у него есть локальная сеть 192.168.10.0

есть пир2 у него локальная сеть 192.168.20.0

вои и если нам надо доступ к этим сетям мы их и пишем как разрешенные сети у этих пиров

Изменено пользователем Leshiyart
Den4ik_vrn Пользователь

Den4ik_vrn

Опубликовано
  • Автор
Опубликовано (изменено)
7 минут назад, Leshiyart сказал:

Это значит что там указывается сеть, в которую можно маршрутизировать, находящаяся за этим пиром

например пир1, у него есть локальная сеть 192.168.10.0

естт пир2 у него локальная сеть 192.168.20.0

вои и если нам надо доступ к доим сетям мы их и пишем как разрушенные сети у этих пиров

Это я понимаю. НО на клиенте есть "разрешённые адреса". Это и есть в моём случае локальная сеть, так как мне по впн нужна только локалка. Маршрут 0.0.0.0/0 на клиенте весь трафик пульнёт в туннель. Далее трафик 192.168.1.0/24 пойдёт по маршруту, а весь остальной - застрянет на "конце туннеля", так как на удалённом роутере для него не будет правила для межсетевого и маршрута... 

 

Вот и вопрос был задан - на роутере настраиваю "разрешйнную подсеть", а на клиенте её не отображается. Если руками конфиг "подшаманить" - тогда всё прекрасно маршрутизируется...

Изменено пользователем Den4ik_vrn
Leshiyart Старожил

Leshiyart

Опубликовано
Опубликовано (изменено)
3 минуты назад, Den4ik_vrn сказал:

на роутере настраиваю "разрешйнную подсеть"

поэтому я и уточняю что вы пишите там не то что надо.
а у клиента можно просто не ставить галку для доступа в инет и прописать маршрут в локальную сеть, если очень хочется то можно задать в разрешенных сетях уже у самого клиента нужную (не в настройках сервера)

Изменено пользователем Leshiyart
Den4ik_vrn Пользователь

Den4ik_vrn

Опубликовано
  • Автор
Опубликовано (изменено)

Смотрите - я думал так это работает: пишем разрешённую подсеть. Если галка доступа стоит - в конфиг пишется маршрут 0.0.0.0/0 и на МЭ делается автоматом правило хождения трафика от клиента в подсеть и в wan роутера.

Если нет указанной галки - на клиенте пишется маршрут только к указанной подсети. И на МЭ делается правило для хождения только в эту подсеть...

 

На деле - хоть разрешён доступ, хоть нет - в конфиге маршрут "весь трафик в туннель" (0.0.0.0/0)

 

И да - на клиентской стороне нет такого "разрешать" или "не разрешать" доступ в интернет. Доступ в сеть интернет - это маршрут. Кроме конфига в программе WireGuard для Windows нельзя сделать "маршрут по умолчанию" - нету там такого. Там есть AllowIPs - это и есть маршрут до подсети или узла....

Изменено пользователем Den4ik_vrn
Leshiyart Старожил

Leshiyart

Опубликовано
Опубликовано
1 минуту назад, Den4ik_vrn сказал:

Смотрите - я думал так это работает: пишем разрешённую подсеть. Если галка доступа стоит - в конфиг пишется маршрут 0.0.0.0/0 и на МЭ делается автоматом правило хождения трафика от клиента в подсеть и в wan роутера.

Если нет указанной галки - на клиенте пишется маршрут только к указанной подсети. И на МЭ делается правило для хождения только в эту подсеть...

по факту это работает не так, клиента в любом случае надо донастроить указав маршрут (в сценарии когда нужна только локалка) либо поставить галку для доступа в инет (если нужен весь трафик)
от того что вы потом потыкаете на сервере галку ната, клиент эту настройку не получит, поэтому там 0.0.0.0 по умолчанию

Den4ik_vrn Пользователь

Den4ik_vrn

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Leshiyart сказал:

по факту это работает не так, клиента в любом случае надо донастроить указав маршрут (в сценарии когда нужна только локалка) либо поставить галку для доступа в инет (если нужен весь трафик)
от того что вы потом потыкаете на сервере галку ната, клиент эту настройку не получит, поэтому там 0.0.0.0 по умолчанию

Вот в этом и был вопрос - толи так и "было задумано". Толи это "баг" или ещё что-то. Получается, что это первое. 

Получается, что на все вопросы я получил ответ. Спасибо

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю