Wireguard - problém s AllowedIPs

David

Wireguard - problém s AllowedIPs
« kdy: 02. 04. 2021, 13:42:40 »
Ahoj, řeším failover Wireguard VPNky, ale narážím na AllowedIPs. Routování bych si řešil pomocí OSPF a BGP, od Wireguardu bych chtěl jen transparentní tunel, aby přeposlal vše, co mu na wg0 interface přijde.

Ale asi to "by design" není možné? Musím mít pro každé spojení vlastní instanci a AllowedIPs=0.0.0.0/0?

Nalevo v lokalitě 2 mám dva Wireguardy a připojují se do Lokalita 3 vpravo. Pro rychlejší spojení ale také do Lokality 1. Jenže kvůli AllowedIPs se nemohu připojit ze dvou peerů (ve stejné síti) na jeden, protože nelze zadat stejné adresy do dvou peerů stejného Wireguardu.

Zároveň mi může přijít paket ze 2 přes 3 do Lokality 1, ale ta ho nevrátí do 3, protože zná IPčko Lokality 2 a snaží se ho poslat do mrtvého tunelu (Wireguard 1).



https://www.reddit.com/r/WireGuard/comments/gersca/is_allowedips_only_used_for_routes_or_does_it_a/
https://stackoverflow.com/questions/65444747/what-is-the-difference-between-endpoint-and-allowedips-fields-in-wireguard-confi


Re:Wireguard - problém s AllowedIPs
« Odpověď #1 kdy: 02. 04. 2021, 20:43:30 »
Cituji:
Citace
On the other hand, if you want to do dynamic routing or multipath, the best
solution for now is to have a separate WireGuard interface for each peer. Then
you can use 0.0.0.0/0, because routing decisions are made at the kernel routing
layer, not by WireGuard.

Re:Wireguard - problém s AllowedIPs
« Odpověď #2 kdy: 02. 04. 2021, 21:06:14 »
Ale asi to "by design" není možné? Musím mít pro každé spojení vlastní instanci a AllowedIPs=0.0.0.0/0?
Ano, neni to mozne by design. Ano, viz predchozi odpoved.