Назад | Перейти на главную страницу

Как я могу убедиться, что мой статический маршрут работает через VPN, как в нашей локальной сети?

У меня есть WireGuard VPN, настроенный на нашем маршрутизаторе OpenWRT. У нас есть клиентское устройство VPN типа "сеть-сеть" по адресу 10.0.0.51 и я создал статический маршрут для интерфейса LAN, чтобы 10.65.0.0/16 использует 10.0.0.51 как шлюз. С машины в локальной сети я могу подключаться к хостам на 10.65.x.x, но они не разрешаются при подключении через VPN. Мне не хватает конфигурации / пересылки?

Кроме того, мне нужен статический маршрут для wg0 интерфейс?

/ и т.д. / config / сеть

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdd6:0025:f171::/48'

config interface 'lan'
        option type 'bridge'
        option proto 'static'
        option ipaddr '10.0.0.1'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ifname 'eth1 eth2 eth3'

config interface 'wan'
        option ifname 'eth0'
        option proto 'static'
        option netmask '255.255.255.248'
        option ipaddr '77.200.51.42'
        option gateway '77.200.51.41'
        list dns '1.1.1.1'
        list dns '1.0.0.1'

config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'

config route
        option target '10.65.0.0'
        option gateway '10.0.0.51'
        option netmask '255.255.0.0'
        option interface 'lan'
        option metric '2'

config interface 'wg0'
        option proto 'wireguard'
        option private_key 'REDACTED'
        option listen_port '51820'
        list addresses '10.200.200.1/24'

config wireguard_wg0
        option public_key 'REDACTED'
        option description 'CLIENT-001'
        option preshared_key 'REDACTED'
        option route_allowed_ips '1'
        list allowed_ips '10.200.200.5/32'

config route
        option target '10.65.0.0'
        option netmask '255.255.0.0'
        option interface 'wg0'
        option gateway '10.0.0.51'
        option metric '2'

/ etc / config / брандмауэр

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone 'lan'
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option network 'lan wg0'

config zone 'wan'
        option name 'wan'
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option mtu_fix '1'
        option network 'wan wan6'
        option masq '1'

config forwarding 'lan_wan'
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option dest_port '51820'
        option src 'wan'
        option name 'Allow-WireGuard'
        option dest 'lan'
        option target 'ACCEPT'
        list proto 'udp'

config redirect
        option dest_port '51820'
        option src 'wan'
        option name 'wireguard'
        option src_dport '51820'
        option target 'DNAT'
        option dest_ip '10.0.0.1'
        option dest 'lan'
        list proto 'udp'

config zone
        option network 'wg0'
        option name 'wireguard'
        option mtu_fix '1'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'

config forwarding
        option dest 'lan'
        option src 'wireguard'

config forwarding
        option dest 'wan'
        option src 'wireguard'

config forwarding
        option dest 'wireguard'
        option src 'lan'