Страница 1 из 1
Помогите правильно написать маршруты.
Добавлено: 26 дек 2021, 18:06
maxim_minton
Заранее извиняюсь у общественности, но к сожалению самостоятельно этот вопрос победить не удалось. Знаний у меня ноль совершенно в данном вопросе.
Ситуация в следующем, я установил Ubuntu и поднял WG сервер на AWS к нему буду подключаться удаленно чтоб была возможность удаленно лазить во внутренних сетях, их две.
Клиенты настроены, к серверу подключаются и друг друга пингуют. Но зайти во внутренние сети нельзя, поскольку не прописаны маршруты, прошу помощи их правильно описать.
Сервер на AWS
Внешний белый адрес - 35.177.87.ЧЧЧ
Адрес в шлюзе - 10.50.0.1
Микротик 1
Внешний адрес - 176.38.11.ЯЯ/24
Адрес в шлюзе - 10.50.0.2
Внутренняя сеть микротика в которой он DHCP клиент- 192.168.88.0
Микротик 1
Внешний адрес - серый
Адрес в шлюзе - 10.50.0.4
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.1.0
Вывод netstat -n -r прикрепил ниже
Re: Помогите правильно написать маршруты.
Добавлено: 27 дек 2021, 08:39
gmx
На Ubuntu
route add 192.168.88.0/24 10.50.0.2
route add 192.168.1.0/24 10.50.0.4
Если нужно, чтобы микротики видели друг друга через VPS:
Микротик 1
route add 192.168.1.0/24 10.50.0.1
Микротик 2
route add 192.168.88.0/24 10.50.0.1
В настройках WG нужно в параметре Allow Address описать все ваши подсети.
Re: Помогите правильно написать маршруты.
Добавлено: 27 дек 2021, 13:55
maxim_minton
gmx писал(а): ↑27 дек 2021, 08:39
На Ubuntu
route add 192.168.88.0/24 10.50.0.2
route add 192.168.1.0/24 10.50.0.4
попробовал сделать это командой "sudo ip route add 192.168.88.0/24 via 10.50.0.2" маршрут добавился, но внутренняя сеть микротика не пингуется все равно. Нужно было делать как то по другому?
В настройках WG нужно в параметре Allow Address описать все ваши подсети.
В настройках WG стоит 0.0.0.0/0, правильно ли я понимаю, что это разрешает подключения с любого адреса?
Re: Помогите правильно написать маршруты.
Добавлено: 28 дек 2021, 08:33
gmx
Ну, дальше надо разбираться с микротиками. С фаерволлами, натом и так далее.
Re: Помогите правильно написать маршруты.
Добавлено: 28 дек 2021, 10:41
maxim_minton
gmx писал(а): ↑28 дек 2021, 08:33
Ну, дальше надо разбираться с микротиками. С фаерволлами, натом и так далее.
Фаервол был отключен на время теста.
Правило маскарадинга вроде добавил: add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=wireguard1
Re: Помогите правильно написать маршруты.
Добавлено: 28 дек 2021, 11:31
gmx
Еще же есть фаерволлы на клиентах
Re: Помогите правильно написать маршруты.
Добавлено: 28 дек 2021, 11:35
maxim_minton
gmx писал(а): ↑28 дек 2021, 11:31
Еще же есть фаерволлы на клиентах
Я имел в виду, что на время теста я отключил все правила фаерволла на микротике.
Re: Помогите правильно написать маршруты.
Добавлено: 28 дек 2021, 11:37
maxim_minton
Я так понимаю, мне нужно что то дописать в правилах фаерволла и нат сервера?
Мне нужно еще добавить такие правила на сервер?
iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
И
iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера
Только я не понимаю, IPv4_адрес_сервера - это внешний "белый" адрес AWS сервера на котором поднят WG?
Re: Помогите правильно написать маршруты.
Добавлено: 28 дек 2021, 11:43
gmx
NAT-то он особо не нужен. Вы же маршрутизацию делаете. NAT хоть и будет работать, но это не совсем правильно.
Нужно копать фаеврволы на VPS (если он там включен). На AWS там как-то доступом еще рулят через из панель управления. Я очень давно пробовал все это на AWS, но помню, там были какие-то затыки с их ограничениями, фаеврол в UIbuntu (хотя там все выключено, если ничего не включали), фаерволлы в микротиках и фаерволлы (а также антивирусы) на клиентских компьютерах, на которые вы хотите получить доступ.