Nein, ich meine dein Client-VPN WG0 auf dem VPS.
Den WG1 machen wir danach.
Ich habe ja 2, den Client 250 (Nur NAS, Router und Rechner)
[Interface]
Address = 10.0.0.2/32
PrivateKey = <Key>
PostUp = ip route del 172.16.1.0/24 dev wg0
PostUp = ip route add 172.16.1.0/24 dev eth0
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = ip route del 172.16.1.0/24 dev eth0
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <Key>
PresharedKey = <Key>
AllowedIPs = 10.0.0.0/24, 172.16.1.0/24
Endpoint = 87.106.167.247:62000
PersistentKeepalive = 25
Client 251 (steht im Post drüber)
So, da diese Routen oben setzen, brauchst du nicht. Aber unten musst du das Netzwerk 172.16.1.0/24 rausnehmen, weil das willst du ja nicht über den WG0 erreichen. Das ist ja bei dir zu Hause und nicht auf dem VPS. Da gibst du nur Netze an, die du über die entfernte Seite erreichen willst.
ichn versuche das mal nachzuvollziehen, also so?
[Interface]
Address = 10.0.0.2/32
PrivateKey = <Key>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <Key>
PresharedKey = <Key>
AllowedIPs = 10.0.0.0/24
Endpoint = 87.106.167.247:62000
PersistentKeepalive = 25
Ja, genau so. Die iptables -A FORWARD -i wg0 -j ACCEPT braucht man zwar, wenn alles auf Default ist (= alles erlaubt ist) auch nicht, aber kann man auch drin lassen.
OK sauber, läuft auch deutlich schneller jetzt, also das NAS Verzeichnis laden geht jetzt instant statt 2 - 3 Sek warten.
Von wo lädt der das NAS denn?
Über WireGuard auf Mobiltelefon und aktuell Mobilfunk, meine schnelle Methode das gegenzutesten mit’m Handy auf’m Tisch
Achso, ok. Dann funktioniert also die Verbindung vom Handy → Mobilfunk → VPS → Home (NAS) auch schon. Soll denn das Handy auch über den VPS ins Internet gehen können?
Nein, der UseCase hier ist rein die Konnektivität ins Heimnetzwerk, damit meine Freundin und ich über unsere Endgeräte auf das NAS zugreifen können, wenn wir unterwegs sind.
Ok, kann man auch immer noch dazu bauen. Ist nicht viel.
Dann jetzt zu dem WG1…
Auf dem VPS: Dein LAN mit in die AllowedIPs eintragen, weil das willst du ja vom VPS aus gesehen über die entfernte Seite erreichen. Damit werden auch gleichzeitig die Routen gesetzt auf das Netz.
JETZT habe ich das mit den AllowedIPs verstanden, da kommt das rein, was man erreichen will von dem jeweiligem Standort der config Datei aus gesehen…
Das wäre in meinem Fall dann folgendes:
[Interface]
Address = 10.20.0.1/24
ListenPort = 62001
PrivateKey = <Key>
# WireGuardPublic @ Home
[Peer]
PublicKey = <Key>
PresharedKey = <Key>
AllowedIPs = 10.20.0.2/32, 172.16.1.0/24
PersistentKeepalive = 25
1 „Gefällt mir“
Ich würde das ganze Subnetz hinschreiben und das per FW abdrehen (wenn du willst), weil das was gar nicht erst reinkommt in den VPS, kommt auch nicht weiter 
Ergibt Sinn, ist angepasst 
Versuch mal, ob du vom VPS deine Hosts da schon pingen kannst. Oder ob da noch das Masquerade fehlt auf dem LXC daheim. Und leider brauchst du auch ein Masquerade (Source-NAT) auf dem VPS auf dem WG, auch wenn das nicht schön ist, denn dann siehst du nicht mehr die originalen Source-IPs, was ich immer gerne habe. Dafür müsste man Policy-Routing bauen und das hab ich auf Linux noch nicht verstanden…
wg0 auf dem VPS down genommen, wg1 ist aktiv, ping geht durch.
Brauchst das wg0 nicht down nehmen.
Zum Gegentesten, da ich weiß dass ich darüber das Netz erreiche und wenn er up ist, weiß ich ja nicht welchen weg der Ping geht
Doch? Die Route zu 172.16.1.0/24 ist doch nur auf dem wg1 gesetzt.