Windows 10 上的 Wireguard - 远程 LAN 访问问题

tag-icon tag-icon networking vpn routing ip-forwarding wireguard
Windows 10 上的 Wireguard - 远程 LAN 访问问题

我有一个工作局域网 (192.168.0.0/24),里面有一堆 Windows 10 和 Linux 机器,我需要从任何地方访问它们。由于它位于 ISP NAT 后面,无法从外部访问,因此我不得不在 Arch Linux k:5.4 上安排一个全局可访问的远程服务器 (my_server.my_domain.com),并安装 Wireguard VPN (10.11.12.0/24)。图片如下:

连接图

我用作 VNC 或 SSH 客户端以访问工作机​​器的每台个人设备都单独连接到 VPN,而且我在工作时还有一台 Windows 10 家庭版机器,并设置了 Wireguard 连接。这在图表上显示为虚线。VPN 子网内 VPN 客户端之间的所有网络连接都运行良好:我可以轻松地从个人主机 (10.11.12.21) 连接到上述工作主机 (10.11.12.11)。

问题在于如何从远程主机访问工作局域网上的其他机器。我已通过以下方式设置了 IP 转发注册表编辑器在连接到 Wireguard 的工作主机上(我们将其称为“WG 网关”)和工作 LAN/WAN 路由器上的静态路由(通过 192.168.0.11 的 10.11.12.0/24)。从未直接连接到 Wireshark 的工作主机(工作主机 #2)对远程设备进行 ping 操作是正常的(没有丢失任何数据包)。但是,我无法从远程个人设备连接到 192.168.0.12/24。跟踪路由显示数据包在 WG 网关后丢失。我猜是工作 Win10 主机的防火墙出了问题(尽管我已经设置了明确的“允许所有来自和到 10.11.12.0/24 子网的流量”Windows Defender 防火墙自定义规则)。尝试通过 VNC 连接到 192.168.0.12:5900 超时,在 WG 网关上嗅探 Wireshark 流量显示返回 ICMP 消息“192.168.0.12 -> 10.11.12.21 目标无法访问(端口无法访问)”,但我可以轻松地从 LAN 内部通过 VNC 连接到该机器上的 5900。我无法在远程个人设备上设置 LAN 打印机,尽管从远程个人设备的浏览器连接到打印机 80 端口上的 Web 界面却奇迹般地成功了!

请帮助正确设置这一切。

小问题#2:Wireguard 的 Windows 客户端没有根据其配置的 AllowedIPs 第二个和后续网络添加其他路由(AllowedIPs = 10.11.12.0/24,192.168.0.0/24) 添加到设备的路由表中,而 Linux 会这样做。我必须始终在个人 Windows 设备上通过 Powershell 手动设置它,这一点都不方便。这是一个错误,还是只是缺少功能?

Wireguard 配置:

服务器:

[Interface]
Address = 10.11.12.1/24
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 60000
PrivateKey = [KEY]

## Personal Host 1
[Peer]
PublicKey = [KEY]
AllowedIPs = 10.11.12.21/32

## WG gateway at work
[Peer]
PublicKey = [KEY]
AllowedIPs = 10.11.12.11/32
AllowedIPs = 192.168.0.0/24

个人主机1(Win 10):

[Interface]
Address = 10.11.12.21/24
PrivateKey = [KEY]

[Peer]
PublicKey = [KEY]
AllowedIPs = 10.11.12.0/24,192.168.0.0/24
Endpoint = my_server.my_domain.com:60000
PersistentKeepAlive = 20

工作中的 WG 网关(Win 10):

[Interface]
Address = 10.11.12.11/24
PrivateKey = [KEY]

[Peer]
PublicKey = [KEY]
AllowedIPs = 10.11.12.0/24
Endpoint = my_server.my_domain.com:60000
PersistentKeepAlive = 20

相关WG网关的系统路由表切片(路线打印):

          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.11     25
       10.11.12.0    255.255.255.0         On-link       10.11.12.11    261
      10.11.12.11  255.255.255.255         On-link       10.11.12.11    261
     10.11.12.255  255.255.255.255         On-link       10.11.12.11    261
      192.168.0.0    255.255.255.0         On-link      192.168.0.11    281
     192.168.0.11  255.255.255.255         On-link      192.168.0.11    281
    192.168.0.255  255.255.255.255         On-link      192.168.0.11    281

相关内容