WireGuard 如何直接使用局域网的 IP 访问

	本地	阿里云服务器	公司内网
虚拟 IP(wireguard)	10.0.8.2	10.0.8.1(服务端)	10.0.8.3
实际 IP	192.168.1.47	x.x.x.x	192.168.11.222

1423

48 天前

搞不定的话可以远程协助

taygetus

48 天前

docker run -d --restart unless-stopped \
--name=wg-easy \
-e WG_HOST=xxxx \
-e PASSWORD=xxxx \
-e WG_DEFAULT_DNS=223.5.5.5 \
-e WG_PERSISTENT_KEEPALIVE=10 \
-e WG_ALLOWED_IPS=192.168.124.0/24,10.8.0.0/24 \
-e WG_MTU=1420 \
-v /DATA/appdata/wg-easy:/etc/wireguard \
-p 51820:51820/udp \
-p 51821:51821/tcp \
--cap-add=NET_ADMIN \
--cap-add=SYS_MODULE \
--sysctl="net.ipv4.conf.all.src_valid_mark=1" \
--sysctl="net.ipv4.ip_forward=1" \
-e TZ=Asia/Shanghai \
weejewel/wg-easy

[Interface]
PrivateKey = xx
Address = 10.8.0.9/24
DNS = 223.5.5.5
MTU = 1420

[Peer]
PublicKey = x
PresharedKey = x
AllowedIPs = 192.168.124.0/24, 10.8.0.0/2
PersistentKeepalive = 10
Endpoint = xxx

我这个配置可以随便访问 124 网段

taotaolin

48 天前

我也遇到过这个问题，貌似是 docker 的什么转发没开。我没折腾出来，最后没用 docker 起 wg 服务，直接用宿主机就可以了。使用 wg-easy 的 docker 环境没搞出来，等个大佬帮看看

eunrui

48 天前

@taygetus 我的和你的除了 DNS 不一样，没加 MTU ，其他的没区别

eunrui

48 天前

@shiyuu 感谢，转发的 server 和内网服务器都开启了，但是 server 那边的配置貌似 AllowedIPs 没办法改，进入容器看了 wg0.conf 的注释，说不要直接在里面改，会被覆盖。server 的 Peer 都是 wg-easy 自动写入的。我先消化一下。

taygetus

48 天前

@eunrui #24 我的 124 就是 wg-easy server 的机器网段跟你的情况不一样我是直接用 natter 打 udp 洞直连的没中间云服务器

V2fishWE

48 天前

提供个思路，最简单的方法使用 tailscale ，将想要做转发的机器设置成 exit － node

ovoo

48 天前

@eunrui 我的思路是一定要修改这个自动生成的配置文件，也就是
```
# Client: server (9d0012cd-0248-4ee8-b845-c3cbf07172d7)
[Peer]
PublicKey = UqJD/AaTXBLi1kAMZn99TT4eapO8hdtAmyUeK9TdkhY=
PresharedKey = r2WVnILyhEsZNhRhDN5dcfP84xLrQ6/Z9ohGSq0rNLs=
AllowedIPs = 10.0.8.3/32, 192.168.11.0/24 # 修改这里，这样 wireguard 会自动在系统里添加一条路由，192.168.11.0/24 的路由都走这个 Peer 传输过去。
```
同时需要打开 IP 转发以及 MASQUERADE 。

ovoo

48 天前

@eunrui https://www.procustodibus.com/blog/2022/06/multi-hop-wireguard/

看看这篇文章，和你的场景完美契合 :)

ovoo

48 天前

实在不能修改文件，云服务器上手动执行添加路由的命令也是一样的效果。
```
ip route add 192.168.11.0/24 via 10.0.8.3
```

eunrui

48 天前

@ovoo 最新战况，要在 docker 里把内网服务器的 AllowedIPs 里加上 192.168.11.0/24 ，https://github.com/wg-easy/wg-easy/issues/921 这个 issues 里有说，我自己进容器手动加上了，虽然新加设备或重启的时候会被重置。

现在我可以连通内网服务器 192.168.11.222 了，但是没办法访问其他内网设备的资源，比如说 192.168.11.215 上的 9098 的 web 服务，但是又能 ping 通 215 的 ip ，ssh 也连不上，

ovoo

48 天前

@eunrui
内外服务器配置文件添加：

```

PreUp = iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

PreUp = sysctl -w net.ipv4.ip_forward=1

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

```

注意替换 eth0 为实际的物理网卡名

再不行就在云服务器也添加：
```
PreUp = iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
```

eunrui

48 天前

@ovoo 感谢，重启了下，莫名其妙就可以了，

eunrui

48 天前

结贴，配置追加到正文了