V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zxq1002
V2EX  ›  WireGuard

wireguard 连接后能访问互联网和路由器,但没法访问内网其它地址

  •  
  •   zxq1002 · 2023-10-27 00:40:03 +08:00 · 1061 次点击
    这是一个创建于 411 天前的主题,其中的信息可能已经有所发展或是发生改变。

    主路由梅林上开启 wg ,手机和电脑配置客户端后都能连上,但是发现没法访问局域网的地址,比如 nas ,是什么原因?路由器的 lan 地址和互联网都是可以访问的。。

    第 1 条附言  ·  2023-10-27 14:26:13 +08:00
    路由表如下:
    Destination Gateway Genmask Flags Metric Ref Use Iface
    default 115.206.56.1 0.0.0.0 UG 0 0 0 ppp0
    default 192.168.1.1 0.0.0.0 UG 1 0 0 eth0
    10.6.0.0 * 255.255.255.0 U 0 0 0 wgs1
    10.6.0.2 * 255.255.255.255 UH 0 0 0 wgs1
    10.6.0.3 * 255.255.255.255 UH 0 0 0 wgs1
    115.206.56.1 * 255.255.255.255 UH 0 0 0 ppp0
    127.0.0.0 * 255.0.0.0 U 0 0 0 lo
    192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
    192.168.2.0 * 255.255.255.0 U 0 0 0 br0
    202.101.172.35 115.206.56.1 255.255.255.255 UGH 1 0 0 ppp0
    202.101.172.46 115.206.56.1 255.255.255.255 UGH 1 0 0 ppp0
    239.0.0.0 * 255.0.0.0 U 0 0 0 br0

    路由器的 lan 地址是 192.168.2.1 ,wireguard 的网段是 10.6.0.0/24 ,现在就设置了.2 和.3 两个 peer 节点。

    路由器的 wg 配置:
    [Interface]
    ListenPort = xx
    PrivateKey = xx

    [Peer]
    PublicKey = xx
    AllowedIPs = 10.6.0.2/32

    [Peer]
    PublicKey = xx
    AllowedIPs = 10.6.0.3/32

    客户端的 wg 配置:
    [Interface]
    PrivateKey = xx
    Address = 10.6.0.2/32
    DNS = 114.114.114.114, 8.8.8.8

    [Peer]
    PublicKey = xx
    AllowedIPs = 10.6.0.0/24, 192.168.2.0/24
    Endpoint = xx
    PersistentKeepalive = 25
    8 条回复    2023-11-03 15:57:03 +08:00
    jasonyang9
        1
    jasonyang9  
       2023-10-27 06:31:54 +08:00
    WG 从本质上讲是隧道,wg-quick 脚本会处理一些路由和防火墙策略等。你不贴出拓扑和配置的话只能猜测是防火墙和路由的问题,因为隧道明显是工作的
    baobao1270
        2
    baobao1270  
       2023-10-27 08:40:42 +08:00
    路由表问题啊……

    默认情况下 WG 配置好只会设置 peer 的路由表
    zxq1002
        3
    zxq1002  
    OP
       2023-10-27 14:26:55 +08:00
    @jasonyang9 已经贴出来了,不好意思
    zxq1002
        4
    zxq1002  
    OP
       2023-10-27 14:27:38 +08:00
    @baobao1270 路由器上启动 wg 的时候勾选了访问内网,当时实际好像没用。。
    jasonyang9
        5
    jasonyang9  
       2023-10-27 15:29:48 +08:00
    已知 WG 节点可以访问 192.168.2.1 ;
    假设梅林开启了 IP 转发(作为路由器的设备必定会开启);

    如果 WG 节点用 10.6.0/24 发起请求到 192.168.2/24 ,则 NAS 可能不知道回程路由,
    或被本机防火墙阻挡;

    防火墙问题:NAS 上允许来自 10.6.0/24 的入站数据包;

    路由问题:
    要么在 NAS 上手动配置路由,目标 10.6.0/24 的下一跳为 192.168.2.1 ,
    要么在梅林上对 br0 开启伪装 Masquerade

    @zxq1002
    zxq1002
        6
    zxq1002  
    OP
       2023-10-27 19:07:38 +08:00
    @jasonyang9 wg 启在主路由上,访问内网的 nas 和其他节点都是不通的,是否应该主路由的路由表有问题,上面我贴的就是主路由的路由信息
    bugmakerxs
        8
    bugmakerxs  
       2023-11-03 15:57:03 +08:00
    https://www.cyberciti.biz/faq/how-to-set-up-wireguard-firewall-rules-in-linux/

    我家的华硕我登录上去配置了一波 iptables ,然后重启才好。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2933 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:29 · PVG 19:29 · LAX 03:29 · JFK 06:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.