Тонкая настройка WireGuard: доступ к сети за клиентом

webmaster С. 24.08.2022 4 комментария
wireguard-logo

Сегодня настроим сеть VPN WireGuard так, что бы клиент-1 VPN сети видел локальную сеть находящуюся за клиентом-2.

Схема сети WireGuard и локальной сети за клиентом.

Настройка сервера WireGuard

Сначала нам необходимо остановить сервер wireguard следующей командой:

sudo systemctl stop wg-quick@wg0.service

или

sudo wg-quick down /etc/wireguard/wg0.conf

Далее открываем файл настройки нашего сервера:

sudo nano /etc/wireguard/wg0.conf
  • Все пути справедливы, только если вы настраивали ваш VPN вот по этой инструкции.

В данном файле необходимо прописать у клиента-2, за которым локальная сеть, в секции [Peer] следующие строки:

[Peer]
PublicKey = публичный_ключ_клиента
AllowedIPs = 10.1.1.8/32, 10.5.1.0/24
  • AllowedIPs – в данной строке 10.1.1.8/32 – это ip-адрес клиента-2 в сети VPN, а 10.5.1.0/24 – это сеть за данным клиентом.

Данной командой мы разрешаем прохождения трафика локальной сети в сеть wireguard

После проделанных изменений запускаем наш сервер:

sudo systemctl start wg-quick@wg0.service

Теперь если с клиента-1 сети VPN попробовать пингануть ip адрес клиента-2 сети VPN, за которым присутствует локальная сеть, то мы увидим, что пакеты успешно проходят:

ping 10.1.1.8
PING 10.1.1.8 (10.1.1.8) 56(84) bytes of data.
64 bytes from 10.1.1.8: icmp_seq=1 ttl=127 time=231 ms
64 bytes from 10.1.1.8: icmp_seq=2 ttl=127 time=216 ms

А вот если попробовать пингануть какой либо IP адрес за клиентом-2, то увидим следующей результат:

ping 10.5.1.10
PING 10.5.1.10 (10.5.1.10) 56(84) bytes of data.
From 10.221.65.85 icmp_seq=1 Packet filtered
From 10.221.65.85 icmp_seq=2 Packet filtered

Как видим наши пакеты попадают под фильтр.

Чтобы разрешить прохождение пакетов, необходимо в конфигурационном файле wireguard нашего клиента-1 прописать следующее (покажу весь конфиг):

[Interface]
PrivateKey = приватный_ключ
ListenPort = 5555
Address = 10.1.1.5/32
[Peer]
PublicKey = публичный_ключ_сервера
AllowedIPs = 10.1.1.0/24, 10.5.1.0/24
Endpoint = IP-адрес_сервера:5555

Перезапускаем нашу службу wireguard на клиенте-1 :

sudo systemctl restart wg-quick@wg0.service

или

wg-quick down /etc/wireguard/wg0.conf
wg-quick up /etc/wireguard/wg0.conf

Набираем команду ping:

ping 10.5.1.10
PING 10.5.1.10 (10.5.1.10) 56(84) bytes of data.
64 bytes from 10.5.1.10: icmp_seq=1 ttl=62 time=93.9 ms
64 bytes from 10.5.1.10: icmp_seq=2 ttl=62 time=53.9 ms

Из вывода видно, что пакеты успешно проходят до сети за клиентом-2.

Вот еще одна команда из который мы видим, что на запрос адреса 10.5.1.10 отвечает клиент 10.1.1.8:

traceroute 10.5.1.10
traceroute to 10.5.1.11 (10.5.1.11), 30 hops max, 60 byte packets
 1  10.1.1.1 (10.1.1.1)  52.645 ms  52.614 ms  64.091 ms
 2  10.1.1.8 (10.1.1.8)  72.799 ms  84.202 ms  84.172 ms
 3  10.5.1.10 (10.5.1.10)  84.075 ms  84.028 ms  83.937 ms

На первый запрос у нас отвечает сервер wireguard 10.1.1.1, далее уже запрос уходит на клиента-2 vpn 10.1.1.8, за которым находятся локальная сеть 10.5.1.0/24. И на последний запрос уже отвечает клиент-3 локальной сети 10.5.1.10

Если есть вопросы, то пишем в комментариях.

Также можете вступить в Телеграм канал, ВКонтакте или подписаться на Twitter. Ссылки в шапке страницы.
Заранее всем спасибо!!!

RSS

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

[РЕШЕНО] Auth-nocache – Warning в OpenVPN
openvpn-logo

При подключении через протокол openvpn, вы можете увидеть следующую строку в логах подключения VPN-клиента: W: WARNING: this configuration may cache Читать

Настройка VPN на Ubuntu Server (способ первый)
openvpn-logo

Сегодня научимся настраивать свой VPN сервер на Ubuntu Server. В качестве сервера VPN будем использовать программу OpenVPN.

Настройка VPN на Ubuntu Server (способ второй)
openvpn-logo

Чтобы поднять свой VPN, нам потребуется сервер с Ubuntu или Debian, пакет OpenVPN и Easy-RSA. Если сервер у вас уже Читать

Выбор конфигурации VPN сервера
openvpn-logo

Приняв решение поддерживать UDP- и TCP-клиентов системный администратор неизбежно приходит ко второму вопросу: bridge-server или P2P-сервер. Напомним: 1. В режиме Читать

0 0 голоса
Рейтинг статьи

Подписаться
Уведомление о
guest

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

4 комментариев
новее
старее большинство голосов
Inline Feedbacks
Просмотреть все комментарии
Евгений
Евгений
23.05.2023 07:27

Добрый день. Не подскажете на счет настройки видимости сети за клиентом по windows. Архитектура такая wireguard server поднят на win 2012r2, клиент win 10. конфиг сервера. [Interface] PrivateKey = 0000 ListenPort = 1194 Address = 172.1.1.1/24 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING… Подробнее »

0
Ответить
webmaster С.
webmaster С.
Автор
Ответить на  Евгений
24.05.2023 19:54

В настройках на сервере клиент с адресом 172.1.1.5 имеет внутреннюю семь. А в настройка самого клиента указан адрес 172.1.1.8

0
Ответить
Георгий
Георгий
04.03.2023 16:36

Добрый день. Все настраивал по вашим двум инструкциям. Но не работает вот какой момент:
С самого сервера не проходят пинги на внутреннюю сеть Клиента 2. В конфиге сеть прописана:
AllowedIPs = 10.1.1.8/32, 10.5.1.0/24
Как понять в чем затык может быть?

0
Ответить
webmaster С.
webmaster С.
Автор
Ответить на  Георгий
06.03.2023 08:59

Портфорвардинг настроили. iptables MASQUERADE прописали

0
Ответить
wpdiscuz   wpDiscuz

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить