你好，为了不做假设和发布混乱的描述，我从一个方案开始:



现在起作用的是:
1)位置1和位置2局域网之间的连接。我可以从位置1或2访问位置1/2网络的所有LAN设备。
2)我可以从连接到位置1的移动设备访问位置1 LAN。

什么是不工作，我正在努力实现:
我还需要从连接到位置1路由器的移动设备访问位置2 LAN设备。这意味着在位置1中以某种方式连接L2TP/IPSEC和Wireguard。我还不知道怎么做。

Wireguard启动后，连接一台L2TP/IPSEC设备时，“Location 1 /IP/Routes”的图像:

回顾一下:
R1用户通过wireguard远程R2设备工作正常。
远程Ipsec客户端通过L2TP连接到R1局域网工作正常。
要求远端Ipsec客户端到达R1，然后进入WG隧道到达R2局域网。

需求
R1
FW规则-->允许远端ipsec客户端进入隧道
IP路由->为远程ipsec客户端提供进入隧道的路径，但不会干扰它们到达本地R1 LAn的能力。
注意:为R1 LAN本地子网创建的到达R2 LAN子网的IP路由对L2TP客户端也必须有效。
假定本地R1用户已经访问了相同的子网，则R2的对等体设置不会更改。

R2
FW规则-->允许远端ipsec客户端退出隧道并访问R2局域网
IP路由-->确保ispec流量到达R2设备后的回程路径路由。
对等体设置-->为传入的ISPEC客户端添加子网。

+++++++++++++++++++++++++++++++++++++++++++++++++++

你能在两台路由器上提供你的当前配置.............吗

谢谢@anav，幸运的是，这是可能的，不需要亲自去1号地点。刚刚了解到Mikrotik路由器没雷竞技网站有ssh客户端，但有其他设备可以ssh到Location 2路由器。

谢谢@anav，幸运的是，这是可能的，不需要亲自去1号地点。刚刚了解到Mikrotik路由器没雷竞技网站有ssh客户端，但有其他设备可以ssh到Location 2路由器。

exportTik.txt

怎么啦？所有的tik设备都有ssh客户端/服务器。

谢谢,是的。
我很愚蠢地尝试简单地ssh，而不是先去/system。
这是一个例子——你必须知道事情是如何运作的。有点尴尬，但这又是一个教训。

在LTE6kit上，我假设它没有直接连接到互联网，而是在某种路由设备后面。
我问的原因是因为你有相当开放的输入链规则比如winbox ??

我会先查看你每台设备的对等设置。让我惊讶的是，他们通过有线警卫正常交谈，

LTE6
/interface wireguard peers
添加允许地址=10.1.10.0/30,10.1.1.0/24端点地址=***********端点端口=8088接口=WGClientWLehtpuu persistent-keepalive=10s \
公开密匙= " "
/ ip地址
添加address=10.1.11.1/24 interface=ether1 network=10.1.11.0
add address=10.1.10.2/30 interface=WGClientWLehtpuu network=10.1.10.0

/ ip路由
添加disabled=no distance=1 dst-address=10.1.1.0/24 gateway=10.1.10.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10


RB1100
/interface wireguard peers
add allowed-address=10.1.10.0/30,10.1.11.0/24 interface=WGServerLPuu persistent-keepalive=10s public-key="IR9g9NTTtkSS0RY2WzjF1lcvs9mNZW7Log7P9id1z1k="
/ ip地址
．....
add address=10.1.1.1/24 interface=BrLAN_01-11 network=10.1.1.0 {LAN}
add address=10.1.10.1/30 interface=WGServerLPuu network=10.1.10.0

/ ip路由
添加disabled=no distance=1 dst-address=10.1.11.0/24 gateway=10.1.10.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10


纠正:

LTE6
/interface wireguard peers
添加allowed-address = 10.1.10.0 /24, 10.1.1.0/24
端点地址=*****端点端口=8088接口=WGClientWLehtpuu persistent-keepalive=10s \
公开密匙= " "
/ ip地址
add address=10.1.11.1/24 interface=ether1 network=10.1.11.0 {LAN}
添加地址= 10.1.10.2/ 24= = 10.1.10.0 WGClientWLehtpuu网络接口{如果添加更多客户端，则需要更大的池}

/ ip路由
添加disabled=no distance=1 dst-address=10.1.1.0/24 gateway=WGClientWLehtpuuPref-src ="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

RB1100
/interface wireguard peers
添加allowed-address = 10.1.10。2/32，10.1.11.0/24接口=WGServerLPuu {持久保持存活与服务器无关的握手}
公开密匙= " = "
/ ip地址
add address=192.168.88.1/24 interface=E13_Mgmt network=192.168.88.0 (MGMT)
add address=10.1.1.1/24 interface=BrLAN_01-11 network=10.1.1.0 (LAN)
添加地址= 10.1.10.1/ 24= = 10.1.10.0 WGServerLPuu网络接口

/ ip路由
添加disabled=no distance=1 dst-address=10.1.11.0/24 gateway=WGServerLPuuPref-src ="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

如果您想通过wireguard远程进入任何一个路由器，连接点将是RB1100
只需要添加对等体。
添加allow -address=10.1.10.3/32接口=，

清理完毕后，现在需要添加到RB1100的VPN客户端，以便能够继续到LTE..........的旅程

添加:LTE6

添加allowed-address = 10.1.10.0/24、10.1.1.0/2410.10.10.0/24
add distance=1 dst-address=10.10.10.0/24 gateway=WGClientWLehtpuu routing-table=main

添加1100卢比，我没看到。

然而，由于臃肿而混乱的防火墙规则，某些东西可能会阻止流量，这一点并不明显。

感谢@anav花时间回答。

我会尝试让它工作，首先我必须到达位置1，并且在不久的将来，如果出现问题，有可能访问物理位置2。
对于roul雷竞技tero新手来说，错误是相当频繁的，这是我自己的经验。
我也将在第一批订单中使1100和LTE6防火墙都体面。我在有用文章部分搜索并找到了您的防火墙指南。
你花了你的时间来写指南，所以现在轮到我花时间来阅读和尝试理解。没有问题了。

有机会实现@anav建议的更改和更正。
现在我确实可以从连接L2TP/IPSEC的电话访问位置2的局域网。
我还将尝试从移动设备上安装wireguard，我最初设置了L2TP/IPSEC，因为它不需要在iPhone和iPad上安装额外的应用程序。

现在，接下来的事情是按照说明，整理两个设备的防火墙…使用安全模式。

编辑:多亏了上面的说明，我尝试在iPhone/iPad/Mac上设置wireguard客户端:它们工作得完美无瑕。Mac官方WG GUI应用程序设置有点棘手，但在10分钟内完成了猜测工作。