求助OpenWRT下wireguard无法访问局域网内设备
背景:内网网段:192.168.1.0/24
wireguard网段:192.168.8.0/24
用OpenWRT建了个旁路由,地址:192.168.1.61
配置点:安装了wireguard包、配置了wg协议的接口、配置了防火墙上的NAT规则。主路由上做了端口映射。
结果:手机连接,从数据包上看是有数据通信的,但就是无法访问到本地的任何服务。连OP的控制界面都打不开。
实在是没有找到问题点,也不知道如何查起。请各位大佬指教。
固件版本:OpenWrt 23.05.5 r24106-10cc5fcd00 / LuCI openwrt-23.05 branch git-24.264.56413-c7a3562
wireguard软件安装如下:
接口配置:
接口常规配置
接口防火墙配置
对端配置
对端配置详情
防火墙NAT配置
NAT配置详情
OPwireguard状态页
手机端状态页
防火墙新添加一个区域分配给wg并且允许与lan区域互相转发,不要和lan放在一个防火墙区域里面。
然后建议直接抄现成的作业。 要自定义防火墙规则 去** 问或者百度有教程 我在openwrt上用wg也有问题, 用了这个教程在ros上成功了https://youtu.be/gp2OI_FVL_o?si=BdxuAE3qIyLg3QrD 本帖最后由 treedom 于 2024-11-7 22:06 编辑
用通讯规则udp访问端口,不是nat规则
接口-ip:192.168.8.1/24 monkeylab 发表于 2024-11-7 21:47
防火墙新添加一个区域分配给wg并且允许与lan区域互相转发,不要和lan放在一个防火墙区域里面。
然后建议直 ...
这个把wg和lan放在一个区域的配置是抄B站的一个作业。我按照您说的试一下。按您意思是我只有这里配置是存在问题的对吗?
我用旁路由wireguard没找到合用的作业。能给指个路吗?有作业可以抄就更好了[偷笑] 小心夹脚 发表于 2024-11-7 21:54
要自定义防火墙规则 去** 问或者百度有教程
百度前面那个是去哪儿问?被屏蔽了。
另外百度我没搜索到旁路由wireguard搭建比较好的作业。好多都是设置iptables的,可现在OP根本没iptables了。您能给指条路吗?
补充:我这个配置就是防火墙这里的问题?接口、客户端都没啥毛病对吗? ryu83219 发表于 2024-11-7 21:57
我在openwrt上用wg也有问题, 用了这个教程在ros上成功了https://youtu.be/gp2OI_FVL_o?si=BdxuAE3qIyLg3QrD ...
谢谢,我去看一下。 既然openwrt作为旁路由,那么不需要nat规则,需要在主路由增加静态路由表,192.186.8.0/24 网关 192.168.1.61;还有允许的ip写192.168.8.2/32 本帖最后由 iget 于 2024-11-7 22:28 编辑
treedom 发表于 2024-11-7 22:05
用通讯规则udp访问端口,不是nat规则
接口-ip:192.168.8.1/24
转发配置的话肯定不是udp,因为我可能ping或者http连内网设备或服务的。
您意思是这里
这样配置吗?
试了,还是不行,是配置不对吗? itteam 发表于 2024-11-7 22:19
既然openwrt作为旁路由,那么不需要nat规则,需要在主路由增加静态路由表,192.186.8.0/24 网关 192.168.1. ...
还是不行,我删掉了NAT配置,然后做了下面的配置。这是哪里不对?
补:做NAT是跟着B站一个视频做的
问题在客户端
客户端路由IP段。0.0.0.0/0 前面把192.168.1.0/24 加上。 ryu83219 发表于 2024-11-7 21:57
我在openwrt上用wg也有问题, 用了这个教程在ros上成功了https://youtu.be/gp2OI_FVL_o?si=BdxuAE3qIyLg3QrD ...
他这个等于是在主路由上起的wireguard,好像跟我的还不一样。我琢磨一下他的配置,看能不能参考改成OP里的配置。 qqkj 发表于 2024-11-7 22:58
问题在客户端
客户端路由IP段。0.0.0.0/0 前面把192.168.1.0/24 加上。
肯定不是,我0.0.0.0/0是所有流量都发到wireguard上了。 iget 发表于 2024-11-7 23:05
肯定不是,我0.0.0.0/0是所有流量都发到wireguard上了。
。。。、0是走上级路由的,你设了就知道了。 客户端设置成:192.168.1.0/24, 0.0.0.0/0, ::/0
依然不行。 本帖最后由 itteam 于 2024-11-8 08:13 编辑
iget 发表于 2024-11-7 22:38
还是不行,我删掉了NAT配置,然后做了下面的配置。这是哪里不对?
补:做NAT是跟着B站一个视频做的
是在你主路由做静态路由(也就是192.168.1.1上),不是在openwrt上做。你现在op作旁路由,它是不负责nat的,所有流量直接转发到192168.1.1上,但是你主路由并不知道192.168.8.0/24在哪,回程他会把192.168.8.0/24发到wan口,所以你才不通的。
如果你不方便在主路由操作,那么你可以把op作为2级路由,接口改为wan口,ip还是192.168.1.61,lan口重设另外一个ip段,那样主路由不需要再做回程静态路由了。 本帖最后由 normanlu 于 2024-11-8 08:33 编辑
我是用mikrotik的交换机做的wg,交换机上防火墙设置一个带地址伪装的snat就可以,感觉挺简单的 对端允许的ip改成 0.0.0.0/0,再勾选路由允许的 IP试试 itteam 发表于 2024-11-8 08:10
是在你主路由做静态路由(也就是192.168.1.1上),不是在openwrt上做。你现在op作旁路由,它是不负责nat ...
旁路由上的wg是因为主路由上缺配置,看第一遍的时候我真的认为您是开玩笑。。。
我还是不太能理解,容我想一下如何去验证您的思路。 normanlu 发表于 2024-11-8 08:28
我是用mikrotik的交换机做的wg,交换机上防火墙设置一个带地址伪装的snat就可以,感觉挺简单的 ...
嗯,独立设备好多地方都做了关联配置确实方便,某种层面也可靠。按照您提示我再研究一下配置。 sy19891211 发表于 2024-11-8 09:10
对端允许的ip改成 0.0.0.0/0,再勾选路由允许的 IP试试
2楼有手机截图,不行。 iget 发表于 2024-11-8 11:00
2楼有手机截图,不行。
我说的是openwrt上面的对端设置 本帖最后由 voandrew 于 2024-11-8 11:58 编辑
Openwrt对端设置里要加允许的IP。我看你这边只有192.168.8.2,也就是只能放为这一个IP的设备。
如果要访问其他局域网,要在允许的IP里添加对应的网段,比如192.168.8.0/24 sy19891211 发表于 2024-11-8 11:19
我说的是openwrt上面的对端设置
哦,我没理解对,是这样配置吗?验证还是不行。
voandrew 发表于 2024-11-8 11:57
Openwrt对端设置里要加允许的IP。我看你这边只有192.168.8.2,也就是只能放为这一个IP的设备。
如果要访问 ...
帮看一下26层的配置对吗? iget 发表于 2024-11-8 12:24
帮看一下26层的配置对吗?
26层的配置依然不通。 iget 发表于 2024-11-8 12:24
帮看一下26层的配置对吗?
[困惑]我说的是2步
1、允许的IP设为0.0.0.0/0,这是允许所有IP,你想只允许部分IP可以调好了再改
2、下面 路由允许的IP 勾选上 如果op是旁路由,可以把op的防火墙整个关闭,没啥用
页:
[1]
2