📡 Что мы строили
Связать две сети через VPN:
- Офис: pfSense (192.168.1.0/24) + Keenetic
- Удалёнка: UDM Pro (192.168.120.0/24)
- VPN-сеть: 122.16.89.0/24
🔧 Основные действующие лица
| Устройство |
Роль |
IP в VPN |
Локальная сеть |
| pfSense |
Сервер WireGuard |
172.16.99.1 |
192.168.1.0/24 |
| UDM Pro |
Клиент WireGuard |
172.16.99.140 |
192.168.120.0/24 |
| Keenetic (офис) |
Роутер за pfSense |
- |
часть 192.168.1.0/24 |
🗺️ Маршрут наших мучений
Шаг 1. Базовые настройки
На UDM Pro создали WireGuard-клиента:
- Endpoint: 199.177.223.55:8279
- Внутренний IP: 172.16.99.140/24
- DNS: 172.16.99.1 (pfSense внутри VPN)
Шаг 2. Магия Allowed IPs
Долго искали, где на UDM Pro находится это поле. Спойлер: в интерфейсе UDM его нет, оно заменяется "Связанными политиками".
Шаг 3. Правила файрвола на UDM
Создали два правила:
# Разрешить пинги из UDM в офис
Исходная зона: Внутренние
Целевая зона: Внешняя зона
Назначение: 172.16.99.1
Протокол: ICMP
Действие: Разрешить
# Разрешить пинги из офиса в UDM
Исходная зона: Внешняя зона
Источник: 172.16.99.1
Целевая зона: Внутренние
Протокол: ICMP
Действие: Разрешить
Шаг 4. Статический маршрут на UDM
Добавили маршрут до офисной сети:
Имя: Office network via pfSense
Целевая сеть: 192.168.1.0/24
Тип: Интерфейс
Интерфейс: wireguardtopfsense
Шаг 5. Настройки на pfSense
В Peer для UDM Pro прописали Allowed IPs:
172.16.99.140/32
192.168.120.0/24
192.168.1.0/24
Шаг 6. Финальный аккорд
Пинги с UDM Pro до офиса пошли, но с компьютера за UDM — нет. Оказалось, проблема в Keenetic в офисе: он не знал маршрут до сети 192.168.120.0/24.
⚡ Инсайт: Все устройства на пути должны знать маршруты!
✅ Финальная конфигурация
На pfSense (сервер):
- Порт UDP 8279 открыт на WAN
- В Peer UDM Pro: Allowed IPs = 172.16.99.140/32, 192.168.120.0/24, 192.168.1.0/24
- На интерфейсе WireGuard: правило Pass для трафика между сетями
На UDM Pro (клиент):
- WireGuard подключен (статус: Подключено)
- Статический маршрут: 192.168.1.0/24 → wireguardtopfsense
- Правила файрвола: разрешить ICMP между зонами
На Keenetic (офис):
- Статический маршрут: 192.168.120.0/24 → шлюз 192.168.1.1 (pfSense)
🎯 Результат
✅ UDM Pro пингует офис (192.168.1.1)
✅ pfSense пингует UDM Pro (172.16.99.140)
✅ Компьютер за UDM пингует офис (192.168.1.1)
✅ Офисный компьютер пингует устройство за UDM (192.168.40.10)
💡 Главные выводы
- Allowed IPs — это священная корова WireGuard. Должны быть прописаны везде и включать все сети с обеих сторон.
- Файрвол нужно открывать в обе стороны (спасибо зонам на UDM).
- Статические маршруты нужны на всех роутерах, которые не знают о удалённых сетях.
- ICMP Redirect от кинетика — верный признак, что он не знает маршрут.
- Интерфейс UniFi прячет Allowed IPs в "Связанных политиках", но через SSH всё видно.
🔍 Полезные команды для проверки
# На UDM Pro (SSH)
wg show
ping 192.168.1.1
ip route show | grep 192.168.1.0
# На pfSense (Diagnostics → Ping)
ping 172.16.99.140
ping 192.168.40.10
Комментарии
Пока нет комментариев. Будьте первым!