这是一个创建于 604 天前的主题,其中的信息可能已经有所发展或是发生改变。
一、缘起
家中 WireGuard server 所在内网 ip 段为 10.0.0.0/24 。
单位 WireGuard client 所在内网 ip 段为 10.*.*.0/16 ,内网中有共享打印机,文件服务器。
想要达成如下效果:除了 10.*.*.0/16 不走 WireGuard 之外,所有流量都走 WireGuard ,有点黑白单的意思。
但 WireGuard 釆用的是白名单机制。遂用不同的场景来询问 ChatGPT, 其中一个答案是设置 AllowedIPs = 0.0.0.0/0,!10.*.*.0/16 ,但 WireGuard 提示错误,不给保存设置。可见 ChatGPT 似乎有点“聪明过头”了?
既然 WireGuard 不能使用黑白单模式,那就从白名单 ip 中排除点黑名单 ip 吧!
二、解决方法
通过在线 CIDR 计算工具,把 AllowedIPs = 0.0.0.0/0,!10.*.*.0/16 转为 AllowedIPs = 1.0.0.0/5,8.0.0.0/7,10.0.0.0/16,11.0.0.0/11,12.0.0.0/6,16.0.0.0/4,32.0.0.0/3,64.0.0.0/2,128.0.0.0/1 。
暂时可以按设想的样子工作,但小白还是花了一些时间,边算边验证,把逐段 IP 补全。
三、问题
1 、有没有计算工具能做减法,把 0.0.0.0/0 减 10.*.*.0/16 直接得出答案 1.0.0.0/5,8.0.0.0/7,10.0.0.0/16,11.0.0.0/11,12.0.0.0/6,16.0.0.0/4,32.0.0.0/3,64.0.0.0/2,128.0.0.0/1 ?
2 、不借助其它分流软件,WireGuard 有没方法像黑名单那样分流?
家中 WireGuard server 所在内网 ip 段为 10.0.0.0/24 。
单位 WireGuard client 所在内网 ip 段为 10.*.*.0/16 ,内网中有共享打印机,文件服务器。
想要达成如下效果:除了 10.*.*.0/16 不走 WireGuard 之外,所有流量都走 WireGuard ,有点黑白单的意思。
但 WireGuard 釆用的是白名单机制。遂用不同的场景来询问 ChatGPT, 其中一个答案是设置 AllowedIPs = 0.0.0.0/0,!10.*.*.0/16 ,但 WireGuard 提示错误,不给保存设置。可见 ChatGPT 似乎有点“聪明过头”了?
既然 WireGuard 不能使用黑白单模式,那就从白名单 ip 中排除点黑名单 ip 吧!
二、解决方法
通过在线 CIDR 计算工具,把 AllowedIPs = 0.0.0.0/0,!10.*.*.0/16 转为 AllowedIPs = 1.0.0.0/5,8.0.0.0/7,10.0.0.0/16,11.0.0.0/11,12.0.0.0/6,16.0.0.0/4,32.0.0.0/3,64.0.0.0/2,128.0.0.0/1 。
暂时可以按设想的样子工作,但小白还是花了一些时间,边算边验证,把逐段 IP 补全。
三、问题
1 、有没有计算工具能做减法,把 0.0.0.0/0 减 10.*.*.0/16 直接得出答案 1.0.0.0/5,8.0.0.0/7,10.0.0.0/16,11.0.0.0/11,12.0.0.0/6,16.0.0.0/4,32.0.0.0/3,64.0.0.0/2,128.0.0.0/1 ?
2 、不借助其它分流软件,WireGuard 有没方法像黑名单那样分流?
第 1 条附言 · 2023-03-26 19:36:51 +08:00
16 条回复 • 2023-03-22 17:22:18 +08:00
 |
1
neroxps 2023-03-21 20:20:28 +08:00 via iPhone
懂网络和不懂网络的都沉默了。
我简单分析下就是 你家里网段是 10.0.0.1-255 单位网段是 10.0.0.0-10.0.255.255 期望是单位和家里的 wg 不冲突。可以通过路由跃点来达到目的。 你家里的服务器应该就几个,你可以使用其他方式起家里的 wg ,在家里 wg 起来后通过 route 命令配置 目的路由 10.0.0.x/32 并设置优先级更高的跃点。 然后公司的 wg 就按照原来的 10.0.0.0/16 即可。 其实你这需求我用 clash for Windows 实现起来更简单,哪个 ip 走哪里写下 rule 即可,简单至极 |
|
2
neroxps 2023-03-21 20:21:10 +08:00 via iPhone
|
 |
3
jackyzy823 2023-03-21 20:21:41 +08:00  1
Python 标准库 ipaddress
list(ipaddress.ip_network("0.0.0.0/0").address_exclude(ipaddress.ip_network("10.10.0.0/16"))) |
|
4
neroxps 2023-03-21 20:27:31 +08:00 via iPhone
抱歉 现在才看懂,你期望除了公司网段以外的都跑到家里的 wg ?
|
 |
5
leonshaw 2023-03-21 20:29:28 +08:00
单位不是 /16 的直连路由?不是就加一条 10.0.0.0/16 到原来的网关。然后 wireguard 配 0.0.0.0/0 和 10.0.0.0/24
|
|
6
neroxps 2023-03-21 20:31:36 +08:00 via iPhone 1
感觉依然可以用跃点来解决,原因是 wg 跃点比默认的高,你加一条单位网络地址的段到路由表从本地网卡走,然后 0.0.0.0 是 wg 的 tun 就好。
|
 |
7
hzqim OP |
|
8
hzqim OP @jackyzy823 #3 又多一个不会运用 Python 的遗憾。
|
 |
13
LGA1150 2023-03-21 21:24:30 +08:00 1
AllowedIPs 填写 0.0.0.0/0 ,靠路由表分流
路由表首先是按照最长前缀匹配,其次才用 metric ,需要 3 条路由: 0.0.0.0/0 (默认路由) -> wireguard 10.x.0.0/16 -> 单位网关 10.0.0.0/24 -> wireguard |
 |
14
kuaizi 2023-03-21 21:41:13 +08:00 via Android 1
https://github.com/lmc999/auto-add-routes
参考这个,把国内 ip 改成你需要直连的 ip |
 |
15
cnbatch 2023-03-22 12:45:39 +08:00
既然只是家用,我觉得改改 WireGuard 的隧道 IP 更简便一些,还能避免 IP 重叠的风险,比如万一刚好公司有设备的 IP 就跟你隧道的地址段重叠了
|
 |
16
tril 2023-03-22 17:22:18 +08:00
计算 wg 的 allowedips 嘛,有现成的 py 脚本,参考这个帖子的 11 楼:
https://v2ex.com/t/910088 |
Select Language