Сервер WireGuard на UDM – ограничение пиров.

Сервер WireGuard на UDM – ограничение пиров., wifiman

drozdof

Guest

28.02.2025 14:42:00

Возможно ли ограничить количество пиров (или пользователей), подключенных к WireGuard серверу, чтобы разрешить подключение только к конкретным IP-адресам внутри локальной сети (в WireGuard сервере это называется Allowed addresses=X.X.X.X)? Я использую несколько UDM и, возможно, новая ранний доступ к прошивке уже позволяет это делать, или это запланировано на будущее? Идея в том, чтобы ограничить доступ для пользователя, подключенного через WireGuard, только к одному (или нескольким) IP-адресам внутри локальной сети, не предоставляя доступ ко всему, что стоит за UDM.

drozdof

Guest

01.03.2025 05:55:00

Или я был не прав… пожалуйста, команда Unifi, поправьте меня, если я неправильно проверяю конфигурационный файл wg в ssh:

[Interface]
ListenPort = 51821
PrivateKey = blablabla

[Peer]
PublicKey = blablabla
AllowedIPs = 192.168.2.2/32
ForcedHandshake = 10

И в GUI

так что:

1) Ограничение доступа пира к ограниченным IP-адресам за UDM уже есть и в оболочке, и в GUI, но называется в GUI неверно.
2) Ограничение доступа пира к ограниченным IP-адресам уже есть в оболочке, но отсутствует в GUI.
3) Ограничение доступа пира к ограниченным IP-адресам отсутствует и в оболочке, и в GUI.

Когда пытаешься установить 2 IP-адреса в GUI, ты получишь ошибку, так что, думаю, 2) более верно. Думаю

drozdof

Guest

01.03.2025 05:42:00

Я проверял команды ssh wireguard на UDM и был удивлён: root@udm:/ssd1# wg set helpUsage: wg set <interface> [listen-port <port>] [fwmark <mark>] [private-key <file path>] [peer <base64 public key> [remove] [preshared-key <file path>] [endpoint <ip>:<port>] [persistent-keepalive <interval seconds>] [forced-handshake <interval seconds>] [allowed-ips <ip1>/<cidr1>[,<ip2>/<cidr2>]...]...Всё это уже есть в оболочке (чему и удивляться не приходится, это базовая функциональность wireguard), так что просто нужно попросить добавить это в GUI!

drozdof Guest	#4 28.02.2025 17:25:00 Окно peer (или клиент, как его называют повсеместно в интерфейсе UDM) выглядит более "enterprise ready" в MikroTik, как по мне.

drozdof

Guest

28.02.2025 17:22:00

Да, это можно сделать с помощью правил маршрутизации, но WireGuard уже обладает этой функциональностью (когда речь идет о нативной установке автономного сервера WireGuard) и ты можешь использовать эту зависимость, основываясь на правилах клиента, что-то вроде того, как это реализовано в MikroTik, например:

mkrzysztofowicz

Guest

28.02.2025 15:31:00

Это можно сделать с помощью правил брандмауэра, по крайней мере, на UCG. В зависимости от того, используете ли вы правила брандмауэра старого стиля или Zone Based Firewall, вы сможете контролировать доступ с VPN-клиента к локальной сети на основе IP-адреса, который назначен конкретному VPN-туннелю этого клиента. В ZBF вам нужно будет создать дополнительные правила в политике VPN -> Внутренняя (по умолчанию установлена в "Разрешить всем"). Но стоит отметить, что если устройство, к которому вы предоставляете доступ, работает под управлением Linux / macOS или Windows и вы разрешаете им SSH / VNC / RDP-доступ к этому устройству, они смогут получить доступ к другим устройствам в вашей локальной сети, сначала подключившись к этому устройству, а затем, из этого устройства, получить доступ к другим устройствам в локальной сети без контроля со стороны брандмауэра.

FrankNicklin Guest	#7 28.02.2025 14:46:00 Пожалуйста, убирайте разделители кода из ваших сообщений. Так их сложно читать.

Читают тему (гостей: 1)