Zobrazit příspěvky
1
Sítě / Re:WireGuard a funkce AllowedIPs
« kdy: 10. 10. 2022, 15:57:20 »
Jen jsem letmo přeletěl konfigurační soubory a zdá se mi, že na tzv. "serveru" máte (správně) masku /32, kdežto na klientech /24. Doporučil bych ji ve vašm případě také změnit na /32.
Jednotliví "klienti" pak komunikují skrze "server". Uvozovky píši naschvál, protože WG je by design řešen symetricky a zná jen pojem peer. VPN "server" tak vznikne především nesymetrickou konfigurací routovacích tabulek jednotlivých peerů. Ať má server adresu WG rozhraní 10.8.0.1/24 a ať jsou tu dva klienti peer1 10.8.0.2/32 a peer2 10.8.0.3/32.
Pokud bude mít peer1 v AllowedIPs: 10.8.0.0/24, nastaví se na peer1 při startu WG rozhraní směrování: 10.8.0.0/24 přes příslušné WG rozhraní. Jde o volbu. Klidně můžete do routovací tabulky peer1 zasáhnout ručně a nasměrovat si přes WG rozhraní cokoliv dalšího. Nebo můžete nepoužít AllowedIPs a místo toho nastavit směrování v PostUp...
Pokud se podaří spustit point-to-point spojení peer1 a serveru, projde ping atp. Můžeme se posunout dál. Na serveru se musí povolit směrování paketů. Třeba pomocí sysctl -w net.ipv4.ip_forward=1 v PerUp, Pak bude možné posílat pakety mezi peer1 a peer2 tak, že server bude hrát roli prostředníka. Není potřeba nic NATovat. Pokud by měl peer1 přistoupit do části sítě, kam má přístup pouze server, třeba do rozsahu 192.66.66.0/24, musela by se do AllowedIPs peer1 přidat i tato část sítě a pak by musel server provoz NATovat.
Na mikrotiku budete asi muset nastavit v IP->Addresses na WG rozhraní 10.8.0.3/32 a adresu sítě 10.8.0.1. Pak v IP->Routes nastavit směrování 10.8.0.0/24 přes 10.8.0.1.
Jednotliví "klienti" pak komunikují skrze "server". Uvozovky píši naschvál, protože WG je by design řešen symetricky a zná jen pojem peer. VPN "server" tak vznikne především nesymetrickou konfigurací routovacích tabulek jednotlivých peerů. Ať má server adresu WG rozhraní 10.8.0.1/24 a ať jsou tu dva klienti peer1 10.8.0.2/32 a peer2 10.8.0.3/32.
Pokud bude mít peer1 v AllowedIPs: 10.8.0.0/24, nastaví se na peer1 při startu WG rozhraní směrování: 10.8.0.0/24 přes příslušné WG rozhraní. Jde o volbu. Klidně můžete do routovací tabulky peer1 zasáhnout ručně a nasměrovat si přes WG rozhraní cokoliv dalšího. Nebo můžete nepoužít AllowedIPs a místo toho nastavit směrování v PostUp...
Pokud se podaří spustit point-to-point spojení peer1 a serveru, projde ping atp. Můžeme se posunout dál. Na serveru se musí povolit směrování paketů. Třeba pomocí sysctl -w net.ipv4.ip_forward=1 v PerUp, Pak bude možné posílat pakety mezi peer1 a peer2 tak, že server bude hrát roli prostředníka. Není potřeba nic NATovat. Pokud by měl peer1 přistoupit do části sítě, kam má přístup pouze server, třeba do rozsahu 192.66.66.0/24, musela by se do AllowedIPs peer1 přidat i tato část sítě a pak by musel server provoz NATovat.
Na mikrotiku budete asi muset nastavit v IP->Addresses na WG rozhraní 10.8.0.3/32 a adresu sítě 10.8.0.1. Pak v IP->Routes nastavit směrování 10.8.0.0/24 přes 10.8.0.1.
?