Nastavení WireGuardu pro propojení mezi sítěmi

[mikesznovu]

Zdravim,wireguard ovládám až na jednu věc a to přiřazení ip adresy zařízení. Síť není uplně triviální, jeden wireguard endpoint na internetu a jeden wireguard v domácí síti (10.1.0.0/24). Domácí síť je 192.168.0.0/16. Ten druhý endpoint je kabel je vlastně router domácí sítě (192.168) Vlastně dotaz je jednoduchý. cestovní zařízení - mám mu nastavit 10.1 nebo 192???v wireguard app?

[Reklama]

[mikesznovu]

(Konfifuraci)Telefonu jsem přiřadil 10.1.0.129/25 a do allowedips dal 192.168/16,10.1.0/25
Není to hloupost? Funguje mi to zatim.
Na verejnem servru pro peera telefonu mám allowed10.1.0.129/32
Endpoint Server má 10.1.0.44 a endpoint router .0.11/24

Pokud tam mám chyby, tak prosim vyjmenovat každou. Mimo grammar nazi. 

[Foreigner]

Wireguard je velice jednoduchy - do allowed ip davas vzdy ip adresy, ktere se maji routovat nebo-li se maji posilat na drouhou stranu tunelu. Pokud mam scenar telefon --- server pak na strane serveru nastavuji alloweip celou sit kterou mam pro VPN a na strane telefonu/klienta nastavuji ip adresy, ktere chci aby se hnaliy pres vpn. Pokud chces vsechen provoz nastav na telefonu 0.0.0.0/0 jinak musis dat vsechny subnety, ktere tam chces. Mimochodem pohledem do routovaci tabulky uvidis jak pro zadani allowedip se dana ip objevi na rozhrani pro wireguard. Tedy bude se do nej routovat.

[mikesznovu]

Díky za esej, ale mě zajímá samotná volba IP adresy včetně masky.
Jestli to má být z rosahu 10.1 nebo 192.168
a zda masku celou /24  nebo nějak šachovat třeba s rozpůlením - že na jedné straně bude ...0.0/25 a na druhé ...0.128/25

[Zopper]

Pokud vím, Wireguard v Mikrotiku musí mít pro klienty jinou síť, než co je jeho lokální LAN. Tj. pokud máš dvě sítě, které propojuješ, pak WG rozhraní musí mít adresu z nějakého třetího rozsahu. Jelikož 192.168.0.0 sis zabral celou jako jeden rozsah /16, tak to bude muset být nějaká 10.x.x.x, jiná než 10.1.0.0/24. Třeba těm rozhraním dávat adresy z 10.1.1.0/24.

Pokud Mikrotik nemáš, tak nevím, jak je to omezené jinde.

[Reklama]

[mikesznovu]

To jo, to mám, to jsem psal,  (vnitnřní!) adresy) endpointů jsou 10.1.0.0/16
, mě zajímají ty adresy připojených přenosných zařízení mimo domácí síť  - kdy wireguard démon běží přímo na tom přenosném zařízení.


A jak říkám, ono to funguje, jen nevím, jestli jsem zvolil správnou adresu.


Druhá strana sítě je nativně 192.168.0.0/25 - je připojena k routeru, až který je wireguard endpoint. (A samozřejmě i na tomdruhém  veřejném endpointu musím mít v routě že 192.168.1.0/24 dev wg4)

[Zopper]

Pokud všechno funguje, tak to je asi nastavené správně.  Ono je jedno, kde ten WG démon běží. Jeho tunelové rozhrani by prostě mělo být v tom ip rozsahu vyhrazeném pro tunel. Jestli to je virtuální síťovka v mobilu, nebo v nějakém routeru, je jedno.