Помогите правильно написать маршруты.

[maxim_minton]

Заранее извиняюсь у общественности, но к сожалению самостоятельно этот вопрос победить не удалось. Знаний у меня ноль совершенно в данном вопросе.
Ситуация в следующем, я установил Ubuntu и поднял WG сервер на AWS к нему буду подключаться удаленно чтоб была возможность удаленно лазить во внутренних сетях, их две.
Клиенты настроены, к серверу подключаются и друг друга пингуют. Но зайти во внутренние сети нельзя, поскольку не прописаны маршруты, прошу помощи их правильно описать.
Сервер на AWS
Внешний белый адрес - 35.177.87.ЧЧЧ
Адрес в шлюзе - 10.50.0.1

Микротик 1
Внешний адрес - 176.38.11.ЯЯ/24
Адрес в шлюзе - 10.50.0.2
Внутренняя сеть микротика в которой он DHCP клиент- 192.168.88.0

Микротик 1
Внешний адрес - серый
Адрес в шлюзе - 10.50.0.4
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.1.0

Вывод netstat -n -r прикрепил ниже

[gmx]

На Ubuntu
route add 192.168.88.0/24 10.50.0.2
route add 192.168.1.0/24 10.50.0.4


Если нужно, чтобы микротики видели друг друга через VPS:

Микротик 1
route add 192.168.1.0/24 10.50.0.1

Микротик 2
route add 192.168.88.0/24 10.50.0.1


В настройках WG нужно в параметре Allow Address описать все ваши подсети.

[maxim_minton]

На Ubuntu
route add 192.168.88.0/24 10.50.0.2
route add 192.168.1.0/24 10.50.0.4

попробовал сделать это командой "sudo ip route add 192.168.88.0/24 via 10.50.0.2" маршрут добавился, но внутренняя сеть микротика не пингуется все равно. Нужно было делать как то по другому?

В настройках WG нужно в параметре Allow Address описать все ваши подсети.

В настройках WG стоит 0.0.0.0/0, правильно ли я понимаю, что это разрешает подключения с любого адреса?

[gmx]

Ну, дальше надо разбираться с микротиками. С фаерволлами, натом и так далее.

[maxim_minton]

Ну, дальше надо разбираться с микротиками. С фаерволлами, натом и так далее.

Фаервол был отключен на время теста.
Правило маскарадинга вроде добавил: add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=wireguard1

[gmx]

Еще же есть фаерволлы на клиентах

[maxim_minton]

Еще же есть фаерволлы на клиентах

Я имел в виду, что на время теста я отключил все правила фаерволла на микротике.

[maxim_minton]

Я так понимаю, мне нужно что то дописать в правилах фаерволла и нат сервера?

Мне нужно еще добавить такие правила на сервер?

iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

И

iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера

Только я не понимаю, IPv4_адрес_сервера - это внешний "белый" адрес AWS сервера на котором поднят WG?

[gmx]

NAT-то он особо не нужен. Вы же маршрутизацию делаете. NAT хоть и будет работать, но это не совсем правильно.

Нужно копать фаеврволы на VPS (если он там включен). На AWS там как-то доступом еще рулят через из панель управления. Я очень давно пробовал все это на AWS, но помню, там были какие-то затыки с их ограничениями, фаеврол в UIbuntu (хотя там все выключено, если ничего не включали), фаерволлы в микротиках и фаерволлы (а также антивирусы) на клиентских компьютерах, на которые вы хотите получить доступ.