V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nullo
V2EX  ›  WireGuard

Wireguard 的 allowIPS 问题

  •  
  •   nullo · 187 天前 · 1666 次点击
    这是一个创建于 187 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我用 linux 搭建了 wireguard ,采用的 wg-easy docker 搭建的,里面的 WG_ALLOWED_IPS 有点没看懂,如果我希望连接 vpn 后,仅能够访问内网的某些网段,应该如何设置,求大佬们解惑
    8 条回复    2024-05-21 16:45:30 +08:00
    coolcoffee
        1
    coolcoffee  
       187 天前
    allow ips 是给连接客户端向用的吧,比如我的 mac 连接了远程的 linux ,我希望访问到 linux 所在的局域网,那么 mac 上的 wireguard 配置 allow ips 就写 linux 所在局域网。

    服务端向只能选择开启或者禁止全部转发,客户端向连接进来随便访问该服务端的内网或者外网。 但是内网也不是随便访问的,得在服务端内网配置 wireguard 的网段流量回到服务端所在内网 ip 。不然 wireguard 内网段在局域网里面是只有去程没有回程的。


    最后,为什么不试试 tailscale 呢? 在不自建的前提下轻轻松松完成“仅能够访问内网的某些网段”。后面可以配置 acl 规则进一步限制哪个客户端访问哪个网段、ip 、端口都能满足。
    accelerator1
        2
    accelerator1  
       187 天前 via Android
    @coolcoffee wireguard 没有 server/client 的概念,所有 peer 都是一样的。。。

    LZ 问题可以通过 iptables 来限制这个 peer 的 allowedips 的访问权限。
    smartruid
        3
    smartruid  
       187 天前
    wg-easy 感觉不太好用,还是直接装 Wireguard 改配置文件更直观点
    smartruid
        4
    smartruid  
       187 天前
    allowedips 相当于添加本地客户端到其他客户端的路由规则,想要限制其他客户端对本地网段的访问可以用防火墙
    nullo
        5
    nullo  
    OP
       187 天前
    @coolcoffee 好的,谢谢师傅,去试一下 tailscale
    fukhak
        6
    fukhak  
       187 天前 via iPhone
    而我認知 allow ip 是用來路由用的,不在該列表裏不進行路由
    例如 0.0.0.0/0 效果應該是全局代理
    thet
        7
    thet  
       187 天前 via iPhone
    设置成你内网的 ip 段就行了
    hahaha121
        8
    hahaha121  
       184 天前
    本地客户端配置的时候,限定 ip 才走 wg;但是好像服务端如果说配置的话是可以走 net 的;有时候也搞不清楚哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3097 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:48 · PVG 21:48 · LAX 05:48 · JFK 08:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.