Доступ в Интернет через Wireguard-туннель

Каковы должны быть настройки, чтобы клиенты, подключенные на Keenetic при помощи Wireguard VPN, получали через данное соединение доступ в Интернет?

1. В конфигурации Peer (пир, соединение) подключения на клиентах должна быть указана разрешенная сеть (Allowed IPs) 0.0.0.0/0. Если клиент — Keenetic, то в параметрах интерфейса должна также быть включена опция "Использовать для входа в Интернет".

2. Также в конфигурации на стороне клиента должен быть указан сервер DNS.

3. На стороне сервера, то есть на стороне, через подключение к которой должен осуществляться выход в Интернет потребуются показанные ниже настройки.

TIP: В случае с Wireguard неважно кто в данной схеме является сервером, т.е. принимает подключение, а кто устанавливает его. Но обычно именно сервер ожидает подключение.

Интерфейсу должен быть установлен уровень безопасности private. Для этого потребуется в интерфейсе командной строки (CLI) роутера ввести команду (предположим, требуемый интерфейс Wireguard с индексом 0):

interface Wireguard0 security-level private


Для интерфейса должна быть включена установка автоматической трансляции адресов. Для этого потребуется ввести команду:

ip nat Wireguard0


Это необходимые и достаточные условия. Настройки на сервере следует сохранить при помощи команды:

system configuration save


4. Следует иметь в виду, что при изменении уровня безопасности интерфейса туннеля с предустановленного public на private, изменяются правила передачи трафика в этот интерфейс из других локальных сетей роутера, и в обратном направлении (см. "Как реализован межсетевой экран?"). Разрешающая настройка для подобной ситуации приведена в примечании к статье "Сегменты сети".

Чтобы трафик от подключенных в туннель хостов мог быть отправлен в локальные сегменты, необходимо будет включить на интерфейсе туннеля разрешающее правило на входящем направлении. В этом правиле в качестве назначения должен быть указан диапазон адресов сегмента локальной сети.
На роль этой настройки подойдет разрешающее весь входящий трафик правило, которое мы настраиваем на интерфейс туннеля в инструкции "Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic", пункт 4.1. После изменения уровня безопасности настроенного по этой инструкции интерфейса, правило сетевого экрана останется и продолжит выполнять уже другую функцию.

Чтобы трафик из локальных сегментов мог быть отправлен к хостам в удаленные сети по туннелю, помимо настройки маршрутизации, согласно указаниям в упомянутой выше статье, также нужно будет добавить на каждом из таких сегментов разрешающие правила сетевого экрана. В этих правилах адреса назначения должны включать диапазоны IP-адресов хостов в удаленных сетях за туннелем, к которым требуется доступ из данного локального сегмента.

5. Рассмотрим теорию на примере, а именно — в схеме, из указанной выше инструкции, настроим маршрутизатору Б доступ в Интернет через туннель к головному офису А.

Capture06.PNG

а) На маршрутизаторе в головном офисе меняем уровень безопасности интерфейса Wireguard0 и включаем для него правило автоматической трансляции адресов.

interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save


б) Через веб-конфигуратор добавляем разрешающие в интерфейсах локальной сети трафик в сети за маршрутизаторами Б и В правила. Разрешение по направлению в локальную сеть филиала Б:

Capture08.PNG

Аналогично для адресов в сети филиала В:

Capture09.PNG

Затем разрешающее правило доступа в сеть офиса Б нужно скопировать из Сегмента 1 в Сегмент 2:

Capture10.PNG

Capture12.PNG

Capture14.PNG

в) На маршрутизаторе в офисе Б нужно скорректировать конфигурацию интерфейса Wireguard. Это можно сделать через веб-конфигуратора. Следует добавить в разрешенные сети пира адресное пространство 0.0.0.0/0:

Capture16.PNG

В настройке самого интерфейса включите опцию "Использовать для входа в Интернет" и укажите DNS-сервер(ы). В нашем примере мы указали публичные серверы AdGuard DNS, но можно использовать и доступные в туннеле локальные адреса, например адрес самого маршрутизатора в офисе А 172.16.82.1:

Capture19.PNG

Сохраните настройку.

Интерфейс Wireguard появится в меню "Интернет" на странице "Приоритеты подключений".

Capture21.PNG

TIP: Примечание: Чтобы отключить настроенную функциональность, достаточно будет на маршрутизаторе А ввести команды interface Wireguard0 security-level public и no ip nat Wireguard0, сохранив затем настройки командой system configuration save. На маршрутизаторе в офисе Б нужно будет выключить опцию "Использовать для входа в Интернет" на интерфейсе Wireguard и удалить разрешенную сеть 0.0.0.0/0.
Правила сетевого экрана и указанные DNS-серверы не помешают функционированию и в случае работы по конфигурации из статьи "Туннельный интерфейс Wireguard и пример настройки VPN соединения локальных сетей двух маршрутизаторов Keenetic".

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 7

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 2
  • Господа, есть небольшая просьба: напишите, пожалуйста, как правильно настроить маршрутизацию и, если нужно, правила файерволла, для того, чтобы клиент, подключившийся по Wireguard-туннелю имел доступ не только в локальную сеть за роутером, к которому он подключился, но и в локальные сети, с которыми у роутера орагнизованы ipsec-туннели. У меня именно такая ситуация, локалки двух Keenetic объединены через IPSec ( по вашим инструкциям) и теперь на серверном Keenetic я поднял Wireguard, клиент Windows 10 через него ходит в интернет, в локальную сеть за серверным Keenetic, всё хорошо, а вот как сделать доступ к локалке за вторым Keenetic? Явных маршрутов ведь для IPsec нет...

    0
    Действия с комментариями Постоянная ссылка
  • При настройке IPSec сайт-сайт соединяются сети, обозначенные при помощи адресных пространств на второй фазе. Это локальная и удаленная сети.
    Чтобы данные из туннеля WireGuard передавались через IPSec туннель в удаленную сеть, трафик приходящий из WireGuard-туннеля должен соответствовать настроенной в правиле IPSec политике второй фазы, подпадать под условие локальной сети на этом устройстве и удаленной сети на ответном узле.
    Мы не рассматривали такую схему. Если использовать смешанную технологическую среду в вашем случае необходимо (нельзя обойтись только WireGuard-туннелями), напишите нам пожалуйста обращение по каналу ТП.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.