我需要一些客户端在通过wireguard连接时能够访问互联网,而一些客户端只能看到本地网络来访问samba,但无法访问互联网。我有Centos从互联网上获取的标准设置
wg0.conf
[Interface]
Address = 10.8.0.1/24
PrivateKey = SERVER_PRIVATE_KEY
ListenPort = 35053
[Peer]
PublicKey = CLIENT_PUBLIC_KEY
AllowedIPs = 10.8.0.2/32
要让连接到wireguard的客户端访问互联网,我执行以下操作
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p
firewall-cmd --permanent --zone=public --add-port=35053/udp
firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --reload
我将其添加到客户端上,一切正常,我连接到服务器并且客户端有互联网,它还可以访问服务器的本地网络和 samba
client.conf
[Interface]
PrivateKey = CLIENT+PRIVATE_KEY
Address = 10.8.0.2/24
DNS = 1.1.1.1
[Peer]
PublicKey = SERVER_PUBLIC_KEY
AllowedIPs = 0.0.0.0/0
Endpoint = SERVER_IP:35053
PersistentKeepalive = 20
如何添加另一个客户端,以便他可以访问本地网络和 samba,但不能通过伪装访问互联网?
我尝试添加另一个wg2仅在本地网络上工作的wireguard 接口。这是行不通的,因为public zone已经有伪装并且它正在被应用到wg2.你可以购买另一个外部IP,然后它就可以工作,但也许还有其他解决方案?
答案1
看看这里:https://unix.stackexchange.com/a/714015/537971
基本上,在服务器端,您需要将 LAN CIDR 添加到AllowedIPs = 10.8.0.2/32例如:AllowedIPs = 10.8.0.2/32, 192.168.1.0/24。
我尝试添加另一个仅在本地网络上工作的wireguard 接口wg2。这不起作用,因为公共区域已经有伪装并且正在应用于 wg2。
第二个 Wireguard 实例应具有不同的 CIDR,10.9.0.0/24并且应仅针对一个 CIDR 和接口配置伪装,例如 iptables:
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE或者iptables -t nat -A POSTROUTING -i wg0 -o eth0 -j MASQUERADE
您应该尝试在防火墙上模仿此行为,或者在具有复杂要求的此类设置中摆脱它。