让外面的多人访问家里的nas，用啥方案好（已解决）

诶哟卧草

家里有个小公司，员工也就5人。
这几年一直公司路由器上挂了个移动硬盘，数据非常的不安全。
加上公司各种资料文件、合同文件繁多，经常需要互相传。很麻烦。

于是我萌生了组nas的想法，但是这个nas，放在家里（上传百兆够用了）。
公司需要远程访问nas，目前有以下几个方案，我只会这几个。

1. 基于IPSec的站到站异地组网
优点：公司的5台电脑无需任何额外配置，即可访问家中nas的IP。同时访问nas以外的其余流量可以走公司本地路由器
缺点：需要更换公司的路由设备，我只会基于ros系统的配置

2. 公司每台电脑配置wireguard，端对端连入家中局域网，并访问nas
优点：无需更换硬件设备，只需要每台电脑上部署peer
缺点：连接中电脑的所有流量都要从我家过一遍

本人技术有限，想请教下第二种方案的改进办法。
主要问题点：
wireguard客户端如何实现分流。比如我的nas本地ip地址是192.168.1.233
我需要只有访问这个ip时才走wireguard，别的所有连接都直接走公司本地的路由器即可，比如192.168.2.1

我只是业余爱好者，太专业的不懂，有没有很好的解决方案。家里的路由器是ros系统

万里小路さん

放公司里所有问题不都解决了，难道公司没公网？

  -- 来自 能看大图的 Stage1官方 Android客户端

Saikou

我们家也有个小公司，捣鼓半天发现还是wps开个会员最好用

诶哟卧草

万里小路さん 发表于 2023-2-2 11:53
放公司里所有问题不都解决了，难道公司没公网？

  -- 来自 能看大图的 Stage1官方 Android客户端 ...

说白了主要是我用，看片&下载啥的大流量行为都在我这边
公司那边的都是些word文档啥的，撑死也不会超过100mb

而且家里1000/100的条件肯定秒杀公司的网络环境

neotaburiss

wireguard是点对点的 不需要走服务器流量

万里小路さん

诶哟卧草 发表于 2023-02-02 11:55:59
说白了主要是我用，看片&下载啥的大流量行为都在我这边
公司那边的都是些word文档啥的，撑死也不会超过10 ...

那弄个SVN是不是就够了，给每个人弄个账号就行了

  -- 来自 能手机投票的 Stage1官方 Android客户端

诶哟卧草

Saikou 发表于 2023-2-2 11:53
我们家也有个小公司，捣鼓半天发现还是wps开个会员最好用

之前公司路由器挂移动硬盘，smb给windows本地映射磁盘很傻瓜化，家里这几个中年人也都习惯了。
所以这次还是想nas通过smb共享文件，对他们来说0学习成本

downforce

诶哟卧草 发表于 2023-2-2 11:59
之前公司路由器挂移动硬盘，smb给windows本地映射磁盘很傻瓜化，家里这几个中年人也都习惯了。
所以这次 ...

zerotier

—— 来自 Xiaomi 22061218C, Android 13上的 S1Next-鹅版 v2.5.4

Benighted

方案2的问题很好解决啊。。。wireguard peer设置里只允许特定IP/网段走wireguard就行了，我就是这么干的。在公共WIFI等特定场景会切到走全局流量的配置

诶哟卧草

Benighted 发表于 2023-2-2 12:06
方案2的问题很好解决啊。。。wireguard peer设置里只允许特定IP/网段走wireguard就行了，我就是这么干的。  ...

大佬，可以看看你的配置文件么。

我自己尝试过修改远程客户端上的Peer的AllowedIPs
之前是0.0.0.0/1, 128.0.0.0/1这样的话就是我说的所有流量都走家里

但我改成192.168.1.233/32的nas地址后，nas能连上，其余啥都连不上了

Benighted

[Interface]
PrivateKey = XXXX
Address = XXXX/24

[Peer]
PublicKey = XXXX
PresharedKey = XXXXXX
AllowedIPs = 192.168.120.0/24（家里LAN）, 10.X.X.0/24(wg私网网段)
Endpoint = xxxx:5xxxxx

我的配置文件就这些，windows客户端和手机tunsafe都没问题，是不是你配置里还有DNS的配置指向你们家里路由器，但是没加到allowed IP里导致的？

紧那罗

说白了办公的需要就只是共享文档 搞个网盘或者wps会员啥的就够了
你自己有需求访问nas就只管自己好了

诶哟卧草

Benighted 发表于 2023-2-2 12:16
PrivateKey = XXXX
Address = XXXX/24

还真是！
Interface里的DNS删了后啥问题都没有了，拿安卓测试的。
回头我再试试windows，估计没啥问题了
赞美大佬！！

neotaburiss

作为wireguard吹 （实际使用时间不到三年）的我，感觉楼主很有可能没在家里路由器配置网关，所以造成外网链接不上

wireguard有外网访问要求的是要在路由器电设置10.253.0.x这个网段的网关是你部署wireguard服务的机器

我的理解这样是告诉路由器10.253.0.x这个网段是谁管的，因为路由器的默认网段不是这个

诶哟卧草

neotaburiss 发表于 2023-2-2 12:28
作为wireguard吹 （实际使用时间不到三年）的我，感觉楼主很有可能没在家里路由器配置网关，所以造 ...

我也很想吹爆wg
但在国内始终没法避免udp的qos
我就一直奇怪为什么ipsec也是udp为啥能把我带宽跑满，wg就不行

测试方法是安卓开5g分别通过ipsec和wg跑speedtest.net

第七日魔人

插眼学技术

回忆and无语

诶哟卧草 发表于 2023-2-2 12:33
我也很想吹爆wg
但在国内始终没法避免udp的qos
我就一直奇怪为什么ipsec也是udp为啥能把我带宽跑满，wg就 ...

换个端口看一下, 你用的是内核模块还是wireguard-go 另外wg写死了chacha20-poly1305加密, IPsec可以用AES