Skip to main content

Руководство пользователя

Доступ в Интернет через WireGuard-туннель

Каковы должны быть настройки, чтобы клиенты, подключенные на Keenetic при помощи WireGuard VPN, получали через данное соединение доступ в Интернет?

Важно

При такой настройке увеличится нагрузка на сам VPN-канал и на интернет-канал, к которому подключен Keenetic, выполняющий роль VPN-сервера.

  1. В конфигурации пира на клиентах должна быть указана разрешенная сеть (Allowed IPs0.0.0.0/0. Если клиент — Keenetic, то в параметрах интерфейса должна быть включена опция "Использовать для входа в Интернет".

  2. Также в конфигурации на стороне клиента должен быть указан сервер DNS (например, публичный адрес DNS-сервера от Google 8.8.8.8).

    Примечание

    Клиентом WireGuard VPN-сервера может выступать интернет-центр Keenetic, мобильные устройства на базе ОС Android и iOS, или компьютеры на базе ОС Windows, Linux, macOS.

  3. На стороне сервера, то есть на стороне, через подключение к которой должен осуществляться выход в Интернет, потребуются показанные ниже настройки.

    Примечание

    В случае с WireGuard неважно кто в данной схеме является сервером, т.е. принимает подключение, а кто устанавливает его. Но обычно именно сервер ожидает подключение.

    WireGuard-интерфейсу должен быть установлен уровень безопасности private. Для этого потребуется в интерфейсе командной строки (CLI) роутера ввести следующую команду (в нашем примере для интерфейса Wireguard0):

    interface Wireguard0 security-level private

    Также для интерфейса должна быть включена установка автоматической трансляции адресов (NAT). Для этого потребуется ввести команду:

    ip nat Wireguard0

    Это необходимые и достаточные условия. Настройки на сервере следует сохранить при помощи команды:

    system configuration save
  4. Следует иметь в виду, что при изменении уровня безопасности интерфейса туннеля с предустановленного public на private, изменяются правила передачи трафика в этот интерфейс из других локальных сетей роутера, и в обратном направлении (см. "Как реализован межсетевой экран?"). Разрешающая настройка для подобной ситуации приведена в примечании к статье "Сегменты сети".

    Чтобы трафик от подключенных в туннель хостов мог быть отправлен в локальный сегмент, необходимо будет включить на интерфейсе туннеля разрешающее правило на входящем направлении. В этом правиле в качестве назначения должен быть указан диапазон адресов сегмента локальной сети.

    На роль этой настройки подойдет разрешающее весь входящий трафик правило, которое мы настраиваем на интерфейсе туннеля в инструкции "Настройка WireGuard VPN между двумя роутерами Keenetic". После изменения уровня безопасности настроенного по этой инструкции интерфейса, правило сетевого экрана останется и продолжит выполнять уже другую функцию.

    Чтобы трафик из локальных сегментов мог быть отправлен к хостам в удаленные сети по туннелю, помимо настройки статической маршрутизации, согласно указаниям в упомянутой выше статье, также нужно будет добавить на каждом из таких сегментов разрешающие правила сетевого экрана. В этих правилах адреса назначения должны включать диапазоны IP-адресов хостов в удаленных сетях за туннелем, к которым требуется доступ из данного локального сегмента.

Пример

Рассмотрим пример, когда клиенты, подключенные к роутеру Keenetic, который выполняет роль VPN-клиента, получат доступ в Интернет через данный VPN-туннель. Другими словами, с VPN-клиента весь трафик будет маршрутизироваться в WireGuard-туннель, как для доступа к удаленной сети, так и в Интернет.

За основу возьмем схему, которая показана в инструкции "Настройка WireGuard VPN между двумя роутерами Keenetic".

  1. На VPN-сервере меняем уровень безопасности интерфейса Wireguard0 и включаем для него правило автоматической трансляции адресов.

    interface Wireguard0 security-level private
    ip nat Wireguard0
    system configuration save
  2. Через веб-конфигуратор добавляем разрешающее правило для Домашней сети для прохождения трафика в сеть за удаленным роутером. Разрешение по направлению в локальную сеть VPN-клиента:

    wireguard-nat-01-en.png

    А на стороне VPN-клиента добавьте разрешающее правило для Домашней сети для прохождения трафика в локальную сеть VPN-сервера.

  3. На VPN-клиенте нужно скорректировать конфигурацию интерфейса WireGuard. Следует добавить в разрешенные сети пира адресное пространство 0.0.0.0/0. В настройке самого интерфейса включите опцию "Использовать для входа в Интернет" и укажите DNS-сервер(ы). В нашем примере мы указали публичный сервер Google DNS (8.8.8.8), но можно использовать и доступные в туннеле локальные адреса, например адрес самого роутера VPN-сервера (172.16.82.1).

    wireguard-nat-02-en.png

    Сохраните настройку.

  4. На VPN-клиенте в меню "Интернет" на странице "Приоритеты подключений" появится интерфейс WireGuardПеретащите его в начало списка, чтобы сделать основным подключением.

    wireguard-nat-03-en.png

    После этого все клиенты, подключенные напрямую к роутеру Keenetic, будут выходить в Интернет через VPN-туннель. Если необходимо настроить доступ только для некоторых устройств, в этом случае рекомендуем создать отдельный профиль и привязать к нему определенные устройства. Как это сделать показано в инструкции "Приоритеты подключений".

    Настройка завершена.

Примечание

Чтобы отключить настроенную функциональность, достаточно будет на VPN-сервере ввести команды interface Wireguard0 security-level public и no ip nat Wireguard0, сохранив затем настройки командой system configuration save. На VPN-клиенте нужно будет выключить опцию "Использовать для входа в Интернет" на интерфейсе WireGuard и удалить разрешенную сеть 0.0.0.0/0.

Правила сетевого экрана и указанные DNS-серверы не помешают функционированию и в случае работы по конфигурации из статьи "Настройка WireGuard VPN между двумя роутерами Keenetic".