vpn : single-nat, port forwarding, qos-based routing

wireguard_iproute_openwrt.txt

@@ -95,7 +95,8 @@ Wireguard - минималистичный vpn. В нем нет никаких
 В wgvps.conf должны быть перечислены все пиры с их публичными ключами,
 а так же прописаны допустимые для них ip адреса.
 Назначим нашему клиенту 192.168.254.3. Сервер будет иметь ip 192.168.254.1.
-Endpoint обязательно должен быть прописан только на одном пире.
+Endpoint должен быть прописан хотя бы на одном пире.
+Если endpoint настроен для пира, то wireguard будет периодически пытаться к нему подключиться.
 В схеме клиент/сервер у сервера можно не прописывать endpoint-ы пиров, что позволит
 менять ip и быть за nat. Endpoint пира настраивается динамически после успешной фазы
 проверки ключа.
@@ -268,6 +269,17 @@ iptables -t mangle -C PREROUTING -m set --match-set ipban dst -j MARK --set-mark
         post-down ip route del dev $IFACE 192.168.0.0/17
 ----------------------------------------------
 
+Так же необходимо указать wireguard дополнительные разрешенные ip для peer :
+
+--/etc/wireguard/wgvps.conf-------------------
+[Peer]
+PublicKey = bCdDaPYSTBZVO1HTmKD+Tztuf3PbOWGDWfz7Lb1E6C4=
+AllowedIPs = 192.168.254.3, 192.168.2.0/24
+----------------------------------------------
+
+Всем клиентам придется назначать различные диапазоны адресов в lan и индивидуально прописывать AllowedIPs
+для каждого peer.
+
 Отсутствие двойного NAT значительно облегчает проброс портов с внешнего IP vpn сервера в локалку какого-либо клиента.
 Для этого надо выполнить 2 действия : добавить разрешение в фаервол на клиенте и сделать dnat на сервере.
 Пример форварда портов 5001 и 5201 на 192.168.2.2 :