Мне нужно разделить клиентов Wireguard на группы/подсети, но мне нужна одна «главная группа» (подсеть), которая может достичьвсеклиенты.
10.11.2.0/24 BestPizzaShop-Town1
10.11.3.0/24 PepperoniPizzaShop-Town2
...
10.11.133.0/24 xxxxShop-Town133
10.11.1.0/16 MASTER group for my own PCs << to rule them all ;-)
Проблема:
- Невозможно пинговать/достучаться до других групп,
10.11.1.xкроме своей подсети.
Вопрос:
- Как мне настроить это на Debian 11 VPS с помощьюWireguard-UI?
(И webmin для настройки брандмауэра iptables.) - Лучше
10.11.252.0/16для «мастер-группы», чем10.11.1.0/16? - Или мне следует перечислить все подсети на стороне сервера одну за другой и создать некоторые маршруты вручную?
Дополнительные требования:
- Ни один из участников не должен иметь доступа в Интернет через сервер Wireguard!
- У одноранговых узлов должна быть возможность доступа только друг к другу в пределах одной подсети, и ни к каким другим. (Даже если одноранговый узел редактирует свой собственный файл .conf.)
- У одноранговых узлов должна быть возможность доступа к SQL на сервере через порт localhost.
- Если возможно: Субклиенты не должны иметь возможности подключаться к моим главным ПК, только я должен иметь возможность начать подключаться к ним.