求助OpenWRT下wireguard无法访问局域网内设备

monkeylab

防火墙新添加一个区域分配给wg并且允许与lan区域互相转发，不要和lan放在一个防火墙区域里面。
然后建议直接抄现成的作业。

ryu83219

我在openwrt上用wg也有问题, 用了这个教程在ros上成功了https://youtu.be/gp2OI_FVL_o?si=BdxuAE3qIyLg3QrD

treedom

用通讯规则udp访问端口，不是nat规则
接口-ip：192.168.8.1/24

itteam

既然openwrt作为旁路由，那么不需要nat规则，需要在主路由增加静态路由表，192.186.8.0/24 网关 192.168.1.61；还有允许的ip写192.168.8.2/32

qqkj

问题在客户端
客户端路由IP段。0.0.0.0/0 前面把192.168.1.0/24 加上。

qqkj

iget 发表于 2024-11-7 23:05
肯定不是，我0.0.0.0/0是所有流量都发到wireguard上了。

。。。、0是走上级路由的，你设了就知道了。

itteam

iget 发表于 2024-11-7 22:38
还是不行，我删掉了NAT配置，然后做了下面的配置。这是哪里不对？

补：做NAT是跟着B站一个视频做的

是在你主路由做静态路由（也就是192.168.1.1上），不是在openwrt上做。你现在op作旁路由，它是不负责nat的，所有流量直接转发到192168.1.1上，但是你主路由并不知道192.168.8.0/24在哪，回程他会把192.168.8.0/24发到wan口，所以你才不通的。

如果你不方便在主路由操作，那么你可以把op作为2级路由，接口改为wan口，ip还是192.168.1.61，lan口重设另外一个ip段，那样主路由不需要再做回程静态路由了。

normanlu

我是用mikrotik的交换机做的wg，交换机上防火墙设置一个带地址伪装的snat就可以，感觉挺简单的

sy19891211

对端允许的ip改成 0.0.0.0/0，再勾选路由允许的 IP试试

sy19891211

iget 发表于 2024-11-8 11:00
2楼有手机截图，不行。

我说的是openwrt上面的对端设置

voandrew

Openwrt对端设置里要加允许的IP。我看你这边只有192.168.8.2，也就是只能放为这一个IP的设备。
如果要访问其他局域网，要在允许的IP里添加对应的网段，比如192.168.8.0/24

sy19891211

iget 发表于 2024-11-8 12:24
帮看一下26层的配置对吗？

我说的是2步
1、允许的IP设为0.0.0.0/0，这是允许所有IP，你想只允许部分IP可以调好了再改
2、下面 路由允许的IP 勾选上

sillencehitman

如果op是旁路由，可以把op的防火墙整个关闭，没啥用