Это очень раздражающая проблема, и у нас есть способ её решения.
Предыстория: У нас есть настроенный IPSec S2S VPN между UDMP и шлюзом стороннего производителя, который работает. Мы включили Wireguard VPN Server. Пользователи, подключающиеся из дома к WG VPN, могут получать доступ к VLAN, размещенным на UDMP, без проблем, но не к удаленным VLAN через IPSec. Пользователи, находящиеся в локальной сети, могут получать доступ к удаленным VLAN через IPSec без проблем.
Причина: Сетевой диапазон для WG VPN Server не указан в туннелях IPSec.
Что вам потребуется, чтобы самостоятельно решить эту проблему:
* SSH-доступ к UDM Pro
* «Жертвенный» VLAN (то есть VLAN, к которому вы не будете возражать, если он получит доступ через IPSec к удаленному сайту) и его адрес (например, 10.0.1.0/24)
* Адрес WG Server (например, 10.0.250.0/24)
Действия:
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: ЭТО ГРЯЗНОЕ И НЕУСТОЙЧИВОЕ РЕШЕНИЕ, КОТОРОЕ НЕ СОХРАНЯЕТСЯ ПРИ ОБНОВЛЕНИЯХ, НО ФАКТИЧЕСКИ РАБОТАЕТ (в последний раз проверялось 28/05/2025).
SSH-подключение к вашему UDMP.
Выполните следующие команды (строки, которые не начинаются с #):
# Определите переменную с жертвенным подсетью
SACSUB="10.0.1.0/24"
# Определите переменную с подсетью WG VPN Server
WGSUB="10.0.250.0/24"
# Перейдите в каталог, содержащий файлы конфигурации S2S
cd /etc/ipsec.d/tunnels
# Найдите файл конфигурации, содержащий жертвенный VLAN, сохраните его в переменную
SACFILE="$(grep -l $SACSUB *)"
# Наконец, замените $SACSUB на $WGSUB в файле конфигурации $SACFILE
sed -i "s|$SACSUB|$WGSUB|g" "$SACFILE"
# Перезагрузите конфигурацию IPSec
ipsec reload
Теперь ваши клиенты, подключенные к Wireguard VPN, должны иметь возможность подключаться к удаленным сетям IPSec без проблем. В идеале это должно происходить автоматически (создать дополнительный туннель для WG или предоставить возможность через пользовательский интерфейс).
Предыстория: У нас есть настроенный IPSec S2S VPN между UDMP и шлюзом стороннего производителя, который работает. Мы включили Wireguard VPN Server. Пользователи, подключающиеся из дома к WG VPN, могут получать доступ к VLAN, размещенным на UDMP, без проблем, но не к удаленным VLAN через IPSec. Пользователи, находящиеся в локальной сети, могут получать доступ к удаленным VLAN через IPSec без проблем.
Причина: Сетевой диапазон для WG VPN Server не указан в туннелях IPSec.
Что вам потребуется, чтобы самостоятельно решить эту проблему:
* SSH-доступ к UDM Pro
* «Жертвенный» VLAN (то есть VLAN, к которому вы не будете возражать, если он получит доступ через IPSec к удаленному сайту) и его адрес (например, 10.0.1.0/24)
* Адрес WG Server (например, 10.0.250.0/24)
Действия:
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: ЭТО ГРЯЗНОЕ И НЕУСТОЙЧИВОЕ РЕШЕНИЕ, КОТОРОЕ НЕ СОХРАНЯЕТСЯ ПРИ ОБНОВЛЕНИЯХ, НО ФАКТИЧЕСКИ РАБОТАЕТ (в последний раз проверялось 28/05/2025).
SSH-подключение к вашему UDMP.
Выполните следующие команды (строки, которые не начинаются с #):
# Определите переменную с жертвенным подсетью
SACSUB="10.0.1.0/24"
# Определите переменную с подсетью WG VPN Server
WGSUB="10.0.250.0/24"
# Перейдите в каталог, содержащий файлы конфигурации S2S
cd /etc/ipsec.d/tunnels
# Найдите файл конфигурации, содержащий жертвенный VLAN, сохраните его в переменную
SACFILE="$(grep -l $SACSUB *)"
# Наконец, замените $SACSUB на $WGSUB в файле конфигурации $SACFILE
sed -i "s|$SACSUB|$WGSUB|g" "$SACFILE"
# Перезагрузите конфигурацию IPSec
ipsec reload
Теперь ваши клиенты, подключенные к Wireguard VPN, должны иметь возможность подключаться к удаленным сетям IPSec без проблем. В идеале это должно происходить автоматически (создать дополнительный туннель для WG или предоставить возможность через пользовательский интерфейс).