wireguard исключить локальную сеть

wireguard исключить локальную сеть

Как правильно настроить WireGuard и исключить локальную сеть: пошаговая инструкция

Если вы используете WireGuard для защиты интернет-соединения или организации удаленного доступа, наверняка сталкивались с ситуацией, когда локальная сеть оказывается в списке маршрутов, что вызывает нежелательные конфликты. В этой статье я расскажу, как исключить локальную сеть из маршрутов WireGuard и сделать конфигурацию максимально удобной и безопасной.

Почему важно исключить локальную сеть из VPN

Когда вы подключаетесь к VPN, по умолчанию через него маршрутизируются все трафики — и внутренние, и внешние. Это удобно, если вы хотите обеспечить безопасность всей сети целиком, но не всегда — иногда нужно оставить доступ к локальным устройствам без маршрутизации через VPN. Например, для доступа к принтерам, NAS или локальным серверам.

Что такое исключение локальной сети в WireGuard

Исключение локальной сети — это настройка, которая позволяет маршрутизировать только трафик, предназначенный для внешних ресурсов, а внутренние сети оставлять без маршрутизации через VPN. В результате ваше устройство будет обращаться к локальной сети напрямую, а внешний интернет — через VPN.

Как исключить локальную сеть из WireGuard: пошаговая инструкция

1. Определите диапазон локальной сети

Для начала нужно знать, какой диапазон IP-адресов использует ваша локальная сеть. Обычно это что-то вроде:

• 192.168.1.0/24
• 10.0.0.0/8
• 172.16.0.0/12

Эти данные можно найти в настройках вашего роутера или локальных устройств.

1. Настройка конфигурационного файла WireGuard

В файле конфигурации клиента (например, wg0.conf) найдите секцию [Peer] или создайте новую, если её еще нет. Основная часть — это параметры AllowedIPs.

Чтобы исключить локальную сеть, используйте следующий подход:

• Укажите только внешние сети в AllowedIPs, например, 0.0.0.0/0 для IPv4, но исключая локальную сеть.

Пример правильной настройки:

[Interface]
PrivateKey = ВАШ_КЛИЕНТСКИЙ_КЛЮЧ
Address = 10.0.0.2/24

[Peer]
PublicKey = ПУБЛИЧНЫЙ_КЛЮЧ_СЕРВЕРА
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Однако, чтобы исключить локальную сеть, стоит использовать маршрутизацию с исключением:

AllowedIPs = 0.0.0.0/1, 128.0.0.0/1

или:

AllowedIPs = 0.0.0.0/0, !192.168.1.0/24

Но такой синтаксис (!) не поддерживается напрямую в WireGuard. Поэтому правильный способ — настроить маршруты вручную.

1. Настройка маршрутов вручную

В случае, если вы хотите исключить локальную сеть, добавьте маршруты в систему вручную:

• Удалите или не добавляйте маршрут на локальную сеть в конфигурации.
• После подключения установите маршруты так, чтобы трафик к локальной сети шел напрямую, а внешний — через VPN.

На Linux это делается так:

ip route add 192.168.1.0/24 via ваш_роутер
ip route add default dev wg0

или, если вы используете PostUp и PostDown в конфиге WireGuard:

[Interface]
PostUp = ip route add 192.168.1.0/24 dev eth0
PostUp = ip route add default dev wg0
PostDown = ip route del 192.168.1.0/24 dev eth0
PostDown = ip route del default dev wg0

Это обеспечит исключение локальной сети из маршрутов VPN.

Итог: как правильно настроить

• Определите диапазон локальной сети.
• В конфигурации WireGuard укажите AllowedIPs так, чтобы трафик, предназначенный для локальной сети, не маршрутизировался через VPN.
• Настройте маршруты вручную или через скрипты PostUp/PostDown, чтобы исключить локальную сеть из VPN.

Почему это важно

Правильная настройка исключения локальной сети повышает производительность, уменьшает нагрузку на VPN-соединение и обеспечивает стабильную работу внутренних сервисов. А еще — это повышает уровень безопасности, не маршрутизируя внутренний трафик через VPN, что важно при работе в корпоративных или домашних сетях.

Если у вас остались вопросы по настройке WireGuard или требуется помощь с конкретной конфигурацией — пишите! Я помогу подобрать оптимальный вариант именно для вашего сценария.

Ключевые слова: wireguard исключить локальную сеть, настройка wireguard, маршрутизация VPN, исключение локальной сети из VPN, конфигурация wireguard

Если нужны дополнительные материалы или вариации текста — обращайтесь!