Wireguard 的 allowIPS 问题

174 天前
 nullo
我用 linux 搭建了 wireguard ,采用的 wg-easy docker 搭建的,里面的 WG_ALLOWED_IPS 有点没看懂,如果我希望连接 vpn 后,仅能够访问内网的某些网段,应该如何设置,求大佬们解惑
1590 次点击
所在节点   WireGuard
8 条回复
coolcoffee
174 天前
allow ips 是给连接客户端向用的吧,比如我的 mac 连接了远程的 linux ,我希望访问到 linux 所在的局域网,那么 mac 上的 wireguard 配置 allow ips 就写 linux 所在局域网。

服务端向只能选择开启或者禁止全部转发,客户端向连接进来随便访问该服务端的内网或者外网。 但是内网也不是随便访问的,得在服务端内网配置 wireguard 的网段流量回到服务端所在内网 ip 。不然 wireguard 内网段在局域网里面是只有去程没有回程的。


最后,为什么不试试 tailscale 呢? 在不自建的前提下轻轻松松完成“仅能够访问内网的某些网段”。后面可以配置 acl 规则进一步限制哪个客户端访问哪个网段、ip 、端口都能满足。
accelerator1
174 天前
@coolcoffee wireguard 没有 server/client 的概念,所有 peer 都是一样的。。。

LZ 问题可以通过 iptables 来限制这个 peer 的 allowedips 的访问权限。
smartruid
174 天前
wg-easy 感觉不太好用,还是直接装 Wireguard 改配置文件更直观点
smartruid
174 天前
allowedips 相当于添加本地客户端到其他客户端的路由规则,想要限制其他客户端对本地网段的访问可以用防火墙
nullo
174 天前
@coolcoffee 好的,谢谢师傅,去试一下 tailscale
fukhak
174 天前
而我認知 allow ip 是用來路由用的,不在該列表裏不進行路由
例如 0.0.0.0/0 效果應該是全局代理
thet
174 天前
设置成你内网的 ip 段就行了
hahaha121
171 天前
本地客户端配置的时候,限定 ip 才走 wg;但是好像服务端如果说配置的话是可以走 net 的;有时候也搞不清楚哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1041804

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX