Заранее извиняюсь у общественности, но к сожалению самостоятельно этот вопрос победить не удалось. Знаний у меня ноль совершенно в данном вопросе.
Ситуация в следующем, я установил Ubuntu и поднял WG сервер на AWS к нему буду подключаться удаленно чтоб была возможность удаленно лазить во внутренних сетях, их две.
Клиенты настроены, к серверу подключаются и друг друга пингуют. Но зайти во внутренние сети нельзя, поскольку не прописаны маршруты, прошу помощи их правильно описать.
Сервер на AWS
Внешний белый адрес - 35.177.87.ЧЧЧ
Адрес в шлюзе - 10.50.0.1
Микротик 1
Внешний адрес - 176.38.11.ЯЯ/24
Адрес в шлюзе - 10.50.0.2
Внутренняя сеть микротика в которой он DHCP клиент- 192.168.88.0
Микротик 1
Внешний адрес - серый
Адрес в шлюзе - 10.50.0.4
Внутренняя сеть микротика в которой он DHCP сервер- 192.168.1.0
Вывод netstat -n -r прикрепил ниже
Помогите правильно написать маршруты.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
На Ubuntu
route add 192.168.88.0/24 10.50.0.2
route add 192.168.1.0/24 10.50.0.4
Если нужно, чтобы микротики видели друг друга через VPS:
Микротик 1
route add 192.168.1.0/24 10.50.0.1
Микротик 2
route add 192.168.88.0/24 10.50.0.1
В настройках WG нужно в параметре Allow Address описать все ваши подсети.
route add 192.168.88.0/24 10.50.0.2
route add 192.168.1.0/24 10.50.0.4
Если нужно, чтобы микротики видели друг друга через VPS:
Микротик 1
route add 192.168.1.0/24 10.50.0.1
Микротик 2
route add 192.168.88.0/24 10.50.0.1
В настройках WG нужно в параметре Allow Address описать все ваши подсети.
-
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
попробовал сделать это командой "sudo ip route add 192.168.88.0/24 via 10.50.0.2" маршрут добавился, но внутренняя сеть микротика не пингуется все равно. Нужно было делать как то по другому?
В настройках WG стоит 0.0.0.0/0, правильно ли я понимаю, что это разрешает подключения с любого адреса?В настройках WG нужно в параметре Allow Address описать все ваши подсети.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Ну, дальше надо разбираться с микротиками. С фаерволлами, натом и так далее.
-
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Еще же есть фаерволлы на клиентах
-
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
-
- Сообщения: 120
- Зарегистрирован: 14 мар 2017, 13:03
Я так понимаю, мне нужно что то дописать в правилах фаерволла и нат сервера?
Мне нужно еще добавить такие правила на сервер?
iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
И
iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера
Только я не понимаю, IPv4_адрес_сервера - это внешний "белый" адрес AWS сервера на котором поднят WG?
Мне нужно еще добавить такие правила на сервер?
iptables -A FORWARD -s 10.50.0.0/24 -i wg0 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
И
iptables -t nat -A POSTROUTING -s 10.50.0.0/24 -o eth0 -j SNAT --to-source IPv4_адрес_сервера
Только я не понимаю, IPv4_адрес_сервера - это внешний "белый" адрес AWS сервера на котором поднят WG?
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
NAT-то он особо не нужен. Вы же маршрутизацию делаете. NAT хоть и будет работать, но это не совсем правильно.
Нужно копать фаеврволы на VPS (если он там включен). На AWS там как-то доступом еще рулят через из панель управления. Я очень давно пробовал все это на AWS, но помню, там были какие-то затыки с их ограничениями, фаеврол в UIbuntu (хотя там все выключено, если ничего не включали), фаерволлы в микротиках и фаерволлы (а также антивирусы) на клиентских компьютерах, на которые вы хотите получить доступ.
Нужно копать фаеврволы на VPS (если он там включен). На AWS там как-то доступом еще рулят через из панель управления. Я очень давно пробовал все это на AWS, но помню, там были какие-то затыки с их ограничениями, фаеврол в UIbuntu (хотя там все выключено, если ничего не включали), фаерволлы в микротиках и фаерволлы (а также антивирусы) на клиентских компьютерах, на которые вы хотите получить доступ.