Как можно настроить OpenWRT для обращения к устройствам через определенный порт? 

В вашей организации установлен роутер на базе OpenWRT, который имеет три интерфейса: USB-модем (WAN), предоставляющий доступ в интернет по DHCP, Ethernet (LAN) с IP-адресом 192.168.1.1 — без подключения к интернету, но находящийся в подсети, где расположены необходимые серверы, и Wireguard (WG) — клиент, соединяющий роутер через WAN с сетью VPN-сервера (10.0.0.1). 

Роутер OpenWRT не выполняет функции шлюза для устройств в LAN. В текущих условиях для доступа к устройствам в LAN из сети VPN 10.0.0.Х необходимо вручную настраивать проброс портов к каждому конкретному узлу: например, чтобы подключиться к 192.168.1.15:80 через 10.0.0.1:81 или к 192.168.1.20:22 через 10.0.0.1:23 и т.д.

Вопрос: возможно ли установить подключение ко всем устройствам подсети LAN через Wireguard от имени 192.168.1.1? Если да, то какие шаги нужно предпринять для реализации этой настройки? Буду признателен за возможность сделать это через интерфейс LuCI для лучшего понимания процесса.
  • 24 февраля 2025 г. 12:54
Ответы на вопрос 3 
Для настройки доступа к устройствам в локальной сети (LAN) через WireGuard на OpenWRT от имени IP-адреса роутера (192.168.1.1), можно использовать правила маршрутизации и настройки Firewall. Вы можете сделать это через интерфейс LuCI, следуя следующим шагам:

### Шаг 1: Настройка WireGuard

1. **Перейдите в настройки WireGuard**:
   - Откройте интерфейс LuCI.
   - Перейдите в раздел **Network** (Сеть) → **Interfaces** (Интерфейсы).
   - Найдите ваш интерфейс WireGuard и убедитесь, что он правильно настроен и подключен.

2. **Добавьте маршрут для доступа к LAN**:
   - Перейдите в **Network** (Сеть) → **Routes** (Маршруты).
   - Нажмите **Add** (Добавить).
     - В качестве цели укажите `192.168.1.0`, маску `255.255.255.0` (или `/24`).
     - В качестве шлюза укажите `10.0.0.1` (т.е. адрес вашего WireGuard-сервера).
   - Сохраните изменения.

### Шаг 2: Настройка Firewall

1. **Перейдите в раздел Firewall**:
   - Откройте **Network** (Сеть) → **Firewall** (Коммутатор).

2. **Создайте новую зону**:
   - Нажмите **Add** (Добавить) в разделе **Zones** (Зоны).
     - Введите имя (например, `vpn_lan`).
     - В качестве интерфейса выберите интерфейс Google - WireGuard и LAN.
     - Разрешите **Forward** (Передача) между этими зонами, если это необходимо. Выберите **Accept** везде (Inbound, Outbound, Forward).

3. **Правила Firewall**:
   - Перейдите на вкладку **Traffic Rules** (Правила трафика).
   - Добавьте правила для разрешения доступа:
     - Протокол: TCP
     - Исходный IP-адрес: выберите ваш диапазон IP адреса сети VPN (например, `10.0.0.0/24`).
     - Целевой адрес: `192.168.1.0/24`.
     - Нажмите **Save & Apply**.

### Шаг 3: Применение изменений

После внесения всех изменений убедитесь, что они применены:
- Перезагрузите интерфейс WireGuard, если это необходимо.
- Проверьте, что маршруты и правила добавлены и активны.

### Проверка

Теперь вы должны иметь возможность подключаться к устройствам в локальной сети (LAN) используя внешний IP адрес вашего WireGuard как точку доступа, что позволяет вам избегать настройки проброса портов для каждого устройства.

*Учтите, что доступ к всем устройствам в LAN может представлять риск безопасности; убедитесь, что правильно настроены политики доступа и аутентификации на соответствующих устройствах в LAN.*
Можно настроить маскарадинг для LAN при выходе из WG, будет оптимально. 
 
 Можно настроить маршрутизацию WG-LAN, для этого в AllowedIPs нужно будет добавлять соответствующую сеть LAN. Маршрут на сеть WG можно будет прописать на вашем основном роутере.
Вам либо нужно настроить роутер-шлюз на маршрутизацию нужных вам VPN-подсетей через шлюз-VPN (тогда сам роутер-шлюз будет правильно маршрутизировать трафик внутрь VPN), либо в настройках DHCP-сервера локальной сети указать опцию 121 Classless Static Route, с указанием подсети VPN и адресом роутера VPN, чтобы клиенты знали о наличии VPN-шлюза в сети и сами маршрутизировали трафик на него. 
 
 Первое настраивается статическими правилами маршрутизации в самом роутере, второе настраивается опциями DHCP-сервера локальной сети. Настройка DHCP предпочтительней в плане скорости и нагрузки на роутер-шлюз.
Похожие вопросы
    Показать ещё