quicktrick

Я видел этот pdf. Ну так это и есть крайне скудная. И на сайте у них тоже не лучше. Вы сравните с документацией на тот же OpenVPN. Ладно, пора закрывать эту ветку. Когда я задал вопрос -- не отвечал никто. Один человек отозвался, но, к сожалению, не помог. А тут вдруг все проснулись, когда всё уже разрешилось. Вот честное слово, когда есть нормальная документация, тогда и вопросов не возникает. Я ведь порядочно времени потратил на поиск решения в Интернете. И документацию смотрел. Ладно, проехали уже.

Дам еще полезную ссылку (особенно с учетом того, что официальная документация на WireGuard -- крайне скудная). Вот здесь замечательно разъяснена суть параметров Endpoint, AllowedIPs и Address в конфигах WireGuard: What is the difference between Endpoint and AllowedIPs fields in Wireguard config file? - Stack Overflow

На всякий случай уточню. Подсеть 172.10.10.0/24, взятая выше для примера, -- не входит в зарезервированные адресные пространства для частных сетей. Нужно, разумеется, использовать собственные адреса.

Разобрался (наполовину методом научного тыка). Заработало. Вообще, вещь неочевидная. Короче, ключевой момент. На обоих клиентах (будем называть их так, потому что они подключены к одному "серверу" -- Кинетику) в конфигах WG должны быть прописаны AllowedIPs на всю подсеть WG (иначе не работает). Например, так. Клиент 1 [Interface] PrivateKey = ... Address = 172.10.10.2/24 [Peer] PublicKey = ... AllowedIPs = 172.10.10.0/24 Endpoint = ... PersistentKeepalive = 15 Клиент 2 [Interface] PrivateKey = ... Address = 172.10.10.3/24 [Peer] PublicKey = ... AllowedIPs = 172.10.10.0/24 Endpoint = ... PersistentKeepalive = 15 На самом Кинетике в конфигах этих пиров должны быть AllowedIPs: 172.10.10.2/32 и 172.10.10.3/32 (соответственно) Никаких дополнительных маршрутов нигде вручную прописывать, естественно, не надо, поскольку подсеть WG маршрутизируется самим WG. А вот в файрволе нужно сделать правило как минимум для того клиента, который хочет коннектиться к другому -- разрешить ему доступ либо к IP второго клиента, либо ко всей подсети WG.

Вообще, мне странно утверждение, что Windows-компьютер -- это не клиент WG. Если я на нем в командной строке выполняю команду ipconfig, то мне выводятся все его IP во всех подключенных подсетях. В том числе -- его IP в сети WG. Так что я имею полное право обращаться к нему по этому IP.

То есть как это хост за клиентом WG? А какой у него тогда IP? И почему такая схема без проблем работает через OpenVPN по IP клиента в сети OpenVPN?

Спасибо за ответ, только я не понимаю, зачем мне сеть другого клиента, если я обращаюсь к нему по его IP в сети WG? Маршрут в сеть WG прописывается автоматически, и я вижу, к примеру, сам Кинетик, к которому я подключен по WG (я сам нахожусь не в локальной сети Кинетика). Я вижу также SMB-сервер в локальной сети Кинетика, к которому с WG IP Кинетика проброшен 445-й порт (то есть я вижу его по IP Кинетика в сети WG). Я не вижу только другого клиента сети WG, подключенного к Кинетику через WG. Я пытаюсь обращаться к нему по его IP в сети WG. Конкретно -- это Windows-компьютер, которым я хочу управлять через RDP.

Позавчера озадачил этим вопросом техподдержку Кинетика. Вчера утром человек от них ответил, но не совсем на тот вопрос, который был задан. Я объяснил задачу подробнее. После этого тишина. Предполагаю, что они тоже не знают, как заставить это работать. Вероятно, попробовали -- и у них тоже не получается.

Пробовал, не работает. Маршруты, правила в файрвол, пробовал даже port forwarding на IP конкретного пира (Windows-компьютер, чтобы управлять им через RDP). Никакие варианты не работают. Вообще, у меня складывается впечатление, что WireGuard какой-то недоделанный в этом отношении. К примеру, всё, что нужно, работает безо всяких танцев с бубном через OpenVPN. Через WireGuard работает только конкретное соединение между двумя пирами, ничего больше. Еще пример. Я очень долго возился с тем, чтобы на моем самодельном маршрутизаторе под FreeBSD настроить WireGuard так, чтобы через него шел весь трафик с определенных хостов в локальной сети. Редиректом трафика управляет PF. Через OpenVPN такая штука работает превосходно. Через WireGuard не работает ни в какую. Там явно какие-то недоработки в самом WG. Я пытался выйти на разработчиков WireGuard через все перечисленные у них способы связи. Бесполезно, они не отзываются. Плюнул, пользуюсь OpenVPN. Хотя WireGuard работает быстрее OpenVPN -- разумеется, там, где он вообще работает.

Никак не могу сообразить, как настроить WireGuard на Keenetic Speedster, чтобы подключенные к нему пиры могли коннектиться друг к другу по их IP в подсети WireGuard. Сейчас они видят только IP самого Кинетика. Ну еще у меня проброшен 445-й порт к Samba-серверу в локальной сети Кинетика, это тоже работает через WG IP Кинетика. А как настроить, чтобы пиры могли коннектиться друг к другу внутри подсети WG?

Передавать буду большие файлы с/на NAS, подключенный к Кинетику. Я, честно говоря, не понимаю, как от этого может зависеть скорость в туннеле. Узкое место сейчас -- процессор Кинетика, не NAS. NAS даже на мелких файлах вдвое большую скорость будет держать нормально.

Вчера на Keenetic Speedster запустил WireGuard. Имею скорость в туннеле порядка 150 Мбит/с. Загрузка процессора при этом около 80%. Свои впечатления описал здесь. Подскажите, пожалуйста, есть ли смысл пробовать IPsec? Будет ли увеличение скорости? Судя по тому, что здесь пишут, скорость 300 мегабит/с я едва ли получу?