Wireguard Site2Site cu birou mobil

TRW

29.11.2022, 16:53

Am la rețele conectate cu Wireguard.

Lan1:
  10.240.0.0/24
  prin 10.100.1.1/32 pe ip static public A.B.C.D/32

Lan2:
  192.168.0.0/24
  prin 10.100.1.6/32 pe ip dinamic de la furnizor

Rețeaua 10.240.0.0 este o rețea wireguard (wg0) pe mai multe servere publice și un server este un „gateway” cu o interfață specială wg1 cu 10.100.1.1.Deci pot ajunge de la gateway la toate nodurile din rețeaua 192.168.0.0. Pe Lan2 este o rețea locală clasică cu unele servere. De asemenea, pe acel peer pot ajunge la toate nodurile din spatele Lan1.

Acum vreau să adaug un nou peer undeva în „sălbăticie” - un birou mobil. Utilizatorul ar trebui să aibă acces la Lan1 și Lan2 în același timp, de ex. ajunge la 10.240.0.0/24 și 192.168.0.0/24. Peer-ul în sine este un telefon mobil cu client Wireguard ca exemplu.

Gateway Lan1 wg1.conf

[Interfață]
Adresa = 10.100.1.1/32
...

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE;

# războinicul drumului
[Peer]
PublicKey =...
AllowedIps = 10.100.1.2/32

# Gateway Lan2
[Peer]
PublicKey =...
AllowedIps = 10.100.1.6/32, 192.168.0.0/24

Și gazda Lan2

[Interfață]
Adresa = 10.100.1.6/32
...

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE

# lan1_gate
[Peer]
PublicKey =...
EndPoint = fqdn:port
IP-uri permise = 10.100.1.1/32, 10.240.0.0/24

Nu pot defini (din intelesul meu) decat pe acel telefon mobil peer-ul gateway-ului lan1, deoarece nu am acces la lan2_gateway, dar vreau sa direcţionează tot traficul von 192.168.0.0 prin lan1_gateway la lan2_gateway

[Interfață]
Adresa = 10.100.1.2/32
...

[Peer]
PublicKey =...
EndPoint = fqdn:port
IP-uri permise = 10.100.1.1/32, 192.168.0.0/24, 10.240.0.0/24

Când conectez road warrior cu lan1, pot ajunge la 10.240.0.0/24 dar nu la 192.168.0.0.Ce s-a întâmplat? Am nevoie de altă regulă de redirecționare pe lan1_gate pentru a redirecționa traficul de la 192.168.0.0 la 10.100.1.6? Asta ar trebui deja făcut.

#> ip r s
implicit prin 172.31.1.1 dev eth0 onlink
...
10.100.1.2 dev wg1 scope link 
10.100.1.6 dev wg1 scope link 
...
10.240.0.4 dev wg0 scope link 
10.240.0.5 dev wg0 scope link 
...
172.31.1.1 dev eth0 proto kernel scope link src A.B.C.D 
192.168.10.0/24 dev wg1 scope link

Vreo idee?

1 + 0

sârmă de protecție

Puncte:1

Server

Justin Ludwig

30.11.2022, 19:24

Cu excepția cazului în care aveți niște reguli de firewall suplimentare setate pe gazda gateway-ului Lan1, traficul de la telefonul mobil „războinic rutier” va fi redirecționat de la gateway-ul Lan1 către gateway-ul Lan2 folosind adresa sursă WireGuard originală a telefonului. 10.100.1.2. Deci, trebuie să adăugați adresa telefonului la IP-uri permise setare în configurația WireGuard pentru gazda gateway-ului Lan2:

IP-uri permise = 10.100.1.1/32, 10.100.1.2/32, 10.240.0.0/24

Gateway-ul Lan2 va elimina toate pachetele pe care le primește de la conexiunea WireGuard cu gateway-ul Lan1 atunci când adresa sursă a pachetului nu este inclusă în acest IP-uri permise setare.

0 + 1

TRW

11.12.2022, 11:57

Ai dreptate în două puncte. Gateway-ul avea reguli suplimentare de firewall pentru a interzice traficul de la peer X la peer Y (pe care l-am creat după această întrebare, setările originale ar funcționa) și LAN2 trebuie să știe ce IP intră. M-am gândit întotdeauna că aceasta este ruta pentru traficul de ieșire, dar pare a fi relevant și pentru traficul de intrare. Mulțumesc mult. Lucrări.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Wireguard Site2Site with mobile office

TH: Wireguard Site2Site พร้อมสำนักงานเคลื่อนที่

RO: Wireguard Site2Site cu birou mobil

RU: Wireguard Site2Site с мобильным офисом

VI: Wireguard Site2Site với văn phòng di động

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.