我用 linux 搭建了 wireguard ,采用的 wg-easy docker 搭建的,里面的 WG_ALLOWED_IPS 有点没看懂,如果我希望连接 vpn 后,仅能够访问内网的某些网段,应该如何设置,求大佬们解惑
8 条回复 • 2024-05-21 16:45:30 +08:00
 |
1
coolcoffee 14 天前
allow ips 是给连接客户端向用的吧,比如我的 mac 连接了远程的 linux ,我希望访问到 linux 所在的局域网,那么 mac 上的 wireguard 配置 allow ips 就写 linux 所在局域网。
服务端向只能选择开启或者禁止全部转发,客户端向连接进来随便访问该服务端的内网或者外网。 但是内网也不是随便访问的,得在服务端内网配置 wireguard 的网段流量回到服务端所在内网 ip 。不然 wireguard 内网段在局域网里面是只有去程没有回程的。 最后,为什么不试试 tailscale 呢? 在不自建的前提下轻轻松松完成“仅能够访问内网的某些网段”。后面可以配置 acl 规则进一步限制哪个客户端访问哪个网段、ip 、端口都能满足。 |
 |
2
accelerator1 14 天前 via Android
@coolcoffee wireguard 没有 server/client 的概念,所有 peer 都是一样的。。。
LZ 问题可以通过 iptables 来限制这个 peer 的 allowedips 的访问权限。 |
 |
3
smartruid 14 天前
wg-easy 感觉不太好用,还是直接装 Wireguard 改配置文件更直观点
|
|
4
smartruid 14 天前
allowedips 相当于添加本地客户端到其他客户端的路由规则,想要限制其他客户端对本地网段的访问可以用防火墙
|
 |
5
nullo OP @coolcoffee 好的,谢谢师傅,去试一下 tailscale
|
 |
6
fukhak 14 天前 via iPhone
而我認知 allow ip 是用來路由用的,不在該列表裏不進行路由
例如 0.0.0.0/0 效果應該是全局代理 |
 |
7
thet 14 天前 via iPhone
设置成你内网的 ip 段就行了
|
 |
8
hahaha121 11 天前
本地客户端配置的时候,限定 ip 才走 wg;但是好像服务端如果说配置的话是可以走 net 的;有时候也搞不清楚哈哈
|
Select Language