<div dir="ltr">Dear Wireguard users and developers,<div><br></div><div>I'm in the planning phase of enabling remote access to a SOHO DMZ service for myself and a few peers. I would appreciate if you could help me clear the uncertainties before me on the drawing board /implementation level.</div><div>My setup is:</div><div><ul><li>LibreCMC 1.4.8 with latest stock wireguard from the LibreCMC repo. The router is being fed with Internet by DHCP from my ISP.</li><li>DMZ VLAN </li><li>DMZ network hosting the service - /24. Say <a href="http://192.168.200.0/24">192.168.200.0/24</a></li><li>Internal LAN - /24, fed by the internal DHCP. Say <a href="http://192.168.100.0/24">192.168.100.0/24</a></li><li>default route  -  say 192.168.20.1</li><li>DMZ firewall zone. Only outgoing DMZ traffic is allowed for the time being.</li><li>LAN firewall zone. outgoing traffic to wan + DMZ is allowed</li><li>NAT-traversal</li><li>DynDNS</li><li>Peer with "public" /24 network - <a href="http://10.10.10.0/24">10.10.10.0/24</a></li></ul><div>What I would like to achieve is</div></div><div><br></div><div><ul><li>Setup a wireguard interface in the same DMZ network range or a subset of it</li><li>Port-forward the wireguard traffic from my peer to the DMZ wireguard VPN entry-point for the particilar service</li><li>Route the rest of the traffic unencrypted</li></ul><div><br></div></div><div>I've checked the manual and quick deployment guide and would appreciate your feedback on doing the things in the proper way. The specific questions I have are:</div><div><br></div><div><ul><li>Is it a good idea to put the wg interface in the same network range as the DMZ or should I split the DMZ into 2 x /25 networks or pick a separate wireguard network</li><li>Given that I'm assigned a default route via DHCP, should I create custom static routes like in the example below on the command line </li></ul>              # ip route add <a href="http://10.10.10.0/24">10.10.10.0/24</a> via 192.168.20.1 dev eth1 </div><div><br></div><div>or should I leave this up to the routing daemons to decide themselves? I'm still mixing up the concepts of the different VPN implementations. I also see by web searching that in LuCI I got a checkbox to resolve my problems with routing the private networks.</div><div><br></div><div>Thanks for your comments and feedback!</div><div><br></div><div>Dimitar</div><div><br></div><div><br></div><div><br></div><div><br></div><div> <br></div></div>