Для перемещения по дереву справки используйте строки заголовка.
Это список разрешённых подсетей для данного партнёра.
Для фильтрации входящего и маршрутизации исходящего трафика.
Составить список из префиксов подсетей, расположенных за данным партнёром. Для добавления подсетей в список используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.
Как минимум, для обмена данными с самим партнёром необходимо указать в списке IP-адрес его интерфейса Wireguard с маской /32.
Пакеты, полученные по туннелю, расшифровываются с помощью открытого ключа данного партнёра. Если в расшифрованных пакетах IP-адрес источника соответствует одной из указанных подсетей, пакет передаётся на маршрутизацию в обычном порядке. Если адрес не соответствует ни одной из подсетей для данного партнёра (ключа), пакет уничтожается.
Исходящий трафик, для начала, маршрутизируется по общей таблице маршрутизации в интерфейс Wireguard, без указания следующего шлюза.
ВНИМАНИЕ! Создание маршрутов в интерфейс Wireguard не входит в сферу ответственности самого Wireguard. Маршруты на все подсети, указанные вallowed-ipsдля всех партнёров данного интерфейса, необходимо создать вручную в узлеip.route.
Далее, в самом Wireguard ищется партнёр, в подсеть которого попадает IP-адрес назначения пакета. Если такой партнёр найден, пакет зашифровывается закрытым ключом данного хоста и отправляется ему. Если нет (например, в таблицу маршрутизации был каким-то образом добавлен неправильный маршрут) — пакет уничтожается.
| © Network Systems Group 2015–2024 | Отдел документации |