wireguard исключить локальную сеть

wireguard исключить локальную сеть

WireGuard: как исключить локальную сеть и обеспечить безопасность

Использование VPN — отличный способ защитить свои данные, скрыть активность в сети и обеспечить безопасное подключение к интернету. Среди современных решений WireGuard зарекомендовал себя как быстрый, лёгкий и безопасный протокол. Однако иногда возникает необходимость исключить локальную сеть из VPN-трафика — чтобы внутренние ресурсы оставались доступными без обхода через VPN, а внешний трафик проходил через защищённое соединение. В этой статье расскажем, как правильно настроить WireGuard, чтобы исключить локальную сеть.

Почему важно исключить локальную сеть из VPN?

Когда вы подключаетесь к VPN, весь трафик обычно маршрутизируется через VPN-сервер. В некоторых случаях это нежелательно — например, чтобы не мешать внутреннему доступу к домашней или корпоративной сети, принтерам, NAS или другим устройствам. Также исключение локальной сети помогает снизить нагрузку на VPN-сервер и уменьшить задержки при работе с внутренними ресурсами.

Как исключить локальную сеть в WireGuard: пошаговая инструкция

1. Определите свою локальную сеть

Перед началом убедитесь, что знаете IP-адреса или подсеть, которая относится к вашей локальной сети. Обычно это что-то вроде:

• 192.168.1.0/24
• 10.0.0.0/8
• 172.16.0.0/12

Эти диапазоны нужно указать в настройках, чтобы исключить их из маршрутизации через VPN.

1. Настройка конфигурации клиента

В файле конфигурации WireGuard добавьте раздел AllowedIPs, разделяющий трафик, который должен идти через VPN, и трафик, исключённый из него.

Пример:

[Interface]
PrivateKey = <ваш_private_key>
Address = 10.0.0.2/24

[Peer]
PublicKey = <публичный_ключ_сервера>
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0

Чтобы исключить локальную сеть, измените AllowedIPs, разделяя внутренние и внешние маршруты:

[Peer]
PublicKey = <публичный_ключ_сервера>
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0, ::/0
Исключаем локальную сеть
PersistentKeepalive = 25
В случае исключения локальной сети, настройте маршруты вручную

Или используйте более точечный подход:

AllowedIPs = 0.0.0.0/0, ::/0
Для исключения локальной сети

1. Настройка маршрутов на клиенте

Самое важное — правильно настроить маршруты. В большинстве случаев, чтобы исключить локальную сеть, нужно добавить статический маршрут, который говорит системе не маршрутизировать локальную сеть через VPN.

Например, для Windows:

• Откройте командную строку с правами администратора и выполните:

route add 192.168.1.0 mask 255.255.255.0 <локальный_шлюз>

где <локальный_шлюз> — IP-адрес вашего шлюза по умолчанию, обычно 192.168.1.1.

На Linux:

sudo ip route add 192.168.1.0/24 via <локальный_шлюз>

Это скажет системе, что трафик в локальную сеть не должен идти через VPN.

1. Использование PostUp и PostDown в конфигурации WireGuard

Можно автоматизировать маршруты при запуске и остановке VPN, добавляя команды в секцию [Interface]:

[Interface]
PrivateKey = <ваш_private_key>
Address = 10.0.0.2/24
PostUp = ip route add 192.168.1.0/24 via <локальный_шлюз>
PostDown = ip route del 192.168.1.0/24 via <локальный_шлюз>

Итог

Исключение локальной сети из маршрутизации через WireGuard — важная часть настройки для комфортной работы в домашней или корпоративной сети. Правильная маршрутизация позволяет одновременно пользоваться внутренними ресурсами и обеспечивать безопасность VPN-трафика.

Если вы хотите оставить внутреннюю сеть доступной без маршрутизации через VPN, настройте AllowedIPs и маршруты так, чтобы внутренняя сеть не проходила через VPN-сервер. Это повысит удобство и безопасность вашей работы.

Полезные советы

• Всегда делайте резервные копии конфигурационных файлов перед изменениями.
• Используйте статические маршруты для исключения локальной сети.
• Проверьте маршруты командой route print (Windows) или ip route (Linux), чтобы убедиться, что всё настроено правильно.
• Обратите внимание, что правильная настройка зависит от вашей конкретной сети и требований.

Если возникнут вопросы по настройке или потребуется помощь — пишите! Настроить WireGuard так, чтобы он исключал локальную сеть, — вполне реально, и это значительно повысит комфорт и безопасность работы.

Ключевое слово: wireguard исключить локальную сеть