संक्रमण से OpenVPN पर WireGuard नेटवर्कों को एक L2 नेटवर्क में संयोजित करने के लिए

मैं भौगोलिक रूप से दूर के तीन अपार्टमेंटों में नेटवर्क के संयोजन के अपने अनुभव को साझा करना चाहता हूं, जिनमें से प्रत्येक गेटवे के रूप में ओपनडब्लूआरटी के साथ राउटर का उपयोग एक सामान्य नेटवर्क में करता है। सबनेट रूटिंग के साथ एल3 और ब्रिजिंग के साथ एल2 के बीच नेटवर्क के संयोजन के लिए एक विधि चुनते समय, जब सभी नेटवर्क नोड एक ही सबनेट में होंगे, दूसरी विधि को प्राथमिकता दी गई थी, जिसे कॉन्फ़िगर करना अधिक कठिन है, लेकिन पारदर्शी होने के कारण अधिक अवसर प्रदान करता है। निर्मित नेटवर्क वेक-ऑन-लैन और डीएलएनए में प्रौद्योगिकियों के उपयोग की योजना बनाई गई थी।

भाग 1: पृष्ठभूमि

इस कार्य को लागू करने के लिए चुने गए प्रोटोकॉल को शुरू में OpenVPNक्योंकि, पहली बात तो यह है कि इससे एक टैप डिवाइस बनाया जा सकता है जिसे बिना किसी समस्या के ब्रिज में जोड़ा जा सकता है, और दूसरी बात यह है कि OpenVPN यह TCP को सपोर्ट करता है, जो कि महत्वपूर्ण था, क्योंकि किसी भी अपार्टमेंट में डेडिकेटेड IP एड्रेस नहीं था। मैं STUN का उपयोग नहीं कर सका क्योंकि मेरा ISP, किसी कारणवश, अपने नेटवर्क से आने वाले UDP कनेक्शनों को ब्लॉक कर देता है। TCP ने मुझे SSH का उपयोग करके VPN सर्वर पोर्ट को किराए के VPS पर फॉरवर्ड करने की अनुमति दी। हालांकि इस तरीके से डेटा को डबल-एनक्रिप्ट करने के कारण काफी ओवरहेड उत्पन्न होता है, मैं VPS को अपने निजी नेटवर्क में एकीकृत नहीं करना चाहता था, क्योंकि इससे तीसरे पक्ष द्वारा उस पर नियंत्रण प्राप्त करने का जोखिम था। इसलिए, अपने होम नेटवर्क पर इस तरह का डिवाइस रखना बिल्कुल भी उचित नहीं था, इसलिए मैंने सुरक्षा के लिए काफी अधिक ओवरहेड का भुगतान करने का निर्णय लिया।

सर्वर को जिस राउटर पर डिप्लॉय किया जाना था, उस पर पोर्ट फॉरवर्ड करने के लिए मैंने sshtunnel प्रोग्राम का इस्तेमाल किया। मैं इसके कॉन्फ़िगरेशन की बारीकियों में नहीं जाऊँगा—यह काफी आसान है। बस इतना बता दूँ कि इसका उद्देश्य राउटर से VPS पर TCP पोर्ट 1194 को फॉरवर्ड करना था। इसके बाद, मैंने सर्वर को कॉन्फ़िगर किया। OpenVPN tap0 डिवाइस पर, जो br-lan ब्रिज से जुड़ा था। अपने लैपटॉप से ​​नए बनाए गए सर्वर से कनेक्शन की जांच करने के बाद, यह स्पष्ट हो गया कि पोर्ट फॉरवर्डिंग का तरीका कारगर साबित हुआ था, और मेरा लैपटॉप राउटर के नेटवर्क का हिस्सा बन गया था, भले ही वह भौतिक रूप से उसका हिस्सा नहीं था।

अब बस इतना ही करना बाकी था कि अलग-अलग अपार्टमेंट में आईपी एड्रेस वितरित किए जाएं ताकि उनमें कोई टकराव न हो और राउटर को कॉन्फ़िगर किया जा सके। OpenVPN-ग्राहक।
निम्नलिखित राउटर आईपी पते और डीएचसीपी सर्वर रेंज का चयन किया गया:

• 192.168.10.1 रेंज के साथ 192.168.10.2 - 192.168.10.80 सर्वर के लिए
• 192.168.10.100 रेंज के साथ 192.168.10.101 - 192.168.10.149 अपार्टमेंट नंबर 2 में राउटर के लिए
• 192.168.10.150 रेंज के साथ 192.168.10.151 - 192.168.10.199 अपार्टमेंट नंबर 3 में राउटर के लिए

इन पतों को क्लाइंट राउटरों को आवंटित करना भी आवश्यक था। OpenVPN-सर्वर को, उसके कॉन्फ़िगरेशन में निम्नलिखित पंक्ति जोड़कर:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

और /etc/openvpn/ipp.txt फ़ाइल में निम्नलिखित पंक्तियाँ जोड़ रहा हूँ:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

जहां flat1_id और flat2_id वे डिवाइस नाम हैं जो कनेक्शन के लिए प्रमाणपत्र बनाते समय निर्दिष्ट किए जाते हैं। OpenVPN

इसके बाद, राउटरों को कॉन्फ़िगर किया गया। OpenVPNदोनों राउटरों पर tap0 डिवाइसों को br-lan ब्रिज में जोड़ा गया। इस समय तक सब कुछ ठीक लग रहा था, क्योंकि तीनों नेटवर्क एक-दूसरे को देख सकते थे और एक इकाई के रूप में काम कर रहे थे। हालांकि, एक अप्रिय समस्या सामने आई: कभी-कभी डिवाइसों को गलत राउटर से IP एड्रेस मिल जाता था, जिसके गंभीर परिणाम होते थे। किसी कारणवश, एक अपार्टमेंट में राउटर समय पर DHCPDISCOVER का जवाब नहीं दे पाया, और डिवाइस को गलत एड्रेस मिल गया। मुझे एहसास हुआ कि मुझे प्रत्येक राउटर पर tap0 में ऐसे अनुरोधों को फ़िल्टर करने की आवश्यकता है, लेकिन पता चला कि अगर कोई डिवाइस ब्रिज का हिस्सा है तो iptables उसके साथ काम नहीं कर सकता, इसलिए मुझे ebtables का उपयोग करना पड़ा। दुर्भाग्य से, मेरे फ़र्मवेयर में यह शामिल नहीं था, इसलिए मुझे प्रत्येक डिवाइस के लिए इमेज को फिर से बनाना पड़ा। ऐसा करने के बाद और प्रत्येक राउटर पर /etc/rc.local में निम्नलिखित लाइनें जोड़ने के बाद, समस्या हल हो गई:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

यह विन्यास तीन वर्षों तक चला।

भाग 2: एक दूसरे को जानना WireGuard

हाल ही में इंटरनेट पर इस बारे में चर्चा बढ़ रही है कि WireGuardमैंने इसकी सरल कॉन्फ़िगरेशन, उच्च स्थानांतरण गति, कम पिंग और तुलनीय सुरक्षा की प्रशंसा की। इसके बारे में अतिरिक्त जानकारी खोजने पर पता चला कि यह न तो ब्रिज मेंबर को सपोर्ट करता है और न ही टीसीपी प्रोटोकॉल को, जिससे मुझे लगा कि इसका कोई विकल्प नहीं है। OpenVPN मेरे लिए यह अभी भी वैसा नहीं है। इसलिए मैंने इसे जानने की प्रक्रिया को टाल दिया। WireGuard.

कुछ दिन पहले, आईटी से जुड़े विभिन्न स्रोतों के माध्यम से यह खबर फैली कि WireGuard अंततः इसे कर्नेल में शामिल किया जाएगा Linuxसंस्करण 5.6 से शुरू होकर, समाचार लेखों की हमेशा की तरह प्रशंसा की गई। WireGuardमैंने एक बार फिर पुराने अच्छे तरीके को बदलने के तरीकों की तलाश में जुट गया। OpenVPNइस बार मेरी मुलाकात हुई यह लेख. इसमें GRE का उपयोग करके L3 पर एक ईथरनेट सुरंग बनाने की बात की गई थी। इस लेख ने मुझे आशा दी. यह अस्पष्ट रहा कि यूडीपी प्रोटोकॉल के साथ क्या किया जाए। खोज करने पर मुझे यूडीपी पोर्ट को आगे बढ़ाने के लिए एसएसएच सुरंग के साथ मिलकर सोकेट का उपयोग करने के बारे में लेख मिले, हालांकि, उन्होंने नोट किया कि यह दृष्टिकोण केवल एकल कनेक्शन मोड में काम करता है, जिसका अर्थ है कि एकाधिक वीपीएन क्लाइंट असंभव होंगे। मेरे मन में वीपीएस पर एक वीपीएन सर्वर स्थापित करने और ग्राहकों के लिए जीआरई स्थापित करने का विचार आया, लेकिन जैसा कि यह निकला, जीआरई एन्क्रिप्शन का समर्थन नहीं करता है, जो इस तथ्य को जन्म देगा कि यदि तीसरे पक्ष सर्वर तक पहुंच प्राप्त करते हैं , मेरे नेटवर्क के बीच का सारा ट्रैफिक उनके हाथों में है जो मुझे बिल्कुल पसंद नहीं आया।

पुनः, निम्नलिखित योजना के अनुसार वीपीएन पर वीपीएन का उपयोग करके, निरर्थक एन्क्रिप्शन के पक्ष में निर्णय लिया गया:

परत XNUMX वीपीएन:
वीपीएस है सर्वर आंतरिक पता 192.168.30.1 के साथ
एमएस है ग्राहक आंतरिक पता 192.168.30.2 के साथ वीपीएस
MK2 है ग्राहक आंतरिक पता 192.168.30.3 के साथ वीपीएस
MK3 है ग्राहक आंतरिक पता 192.168.30.4 के साथ वीपीएस

परत XNUMX वीपीएन:
एमएस है सर्वर बाहरी पता 192.168.30.2 और आंतरिक 192.168.31.1 के साथ
MK2 है ग्राहक एमएस 192.168.30.2 पते के साथ और इसका आंतरिक आईपी 192.168.31.2 है
MK3 है ग्राहक एमएस 192.168.30.2 पते के साथ और इसका आंतरिक आईपी 192.168.31.3 है

* एमएस - अपार्टमेंट 1 में राउटर-सर्वर, MK2 - अपार्टमेंट 2 में राउटर, MK3 - अपार्टमेंट 3 में राउटर
* डिवाइस कॉन्फ़िगरेशन लेख के अंत में स्पॉइलर में प्रकाशित किए गए हैं।

और इसलिए, नेटवर्क के नोड्स 192.168.31.0/24 के बीच पिंग चलते हैं, अब जीआरई सुरंग स्थापित करने के लिए आगे बढ़ने का समय है। इससे पहले, राउटर तक पहुंच न खोने के लिए, पोर्ट 22 को वीपीएस पर अग्रेषित करने के लिए एसएसएच सुरंगों को स्थापित करना उचित है, ताकि, उदाहरण के लिए, अपार्टमेंट 10022 से एक राउटर वीपीएस के पोर्ट 2 पर उपलब्ध हो, और ए अपार्टमेंट 11122 से राउटर वीपीएस के पोर्ट 3 पर उपलब्ध होगा। अपार्टमेंट XNUMX से राउटर। अग्रेषण को उसी sshtunnel के साथ कॉन्फ़िगर करना सबसे अच्छा है, क्योंकि यह गिरने की स्थिति में सुरंग को बहाल कर देगा।

सुरंग कॉन्फ़िगर की गई है, आप अग्रेषित पोर्ट के माध्यम से एसएसएच से जुड़ सकते हैं:

ssh root@МОЙ_VPS -p 10022

इसके बाद आपको इसे अक्षम करना चाहिए OpenVPN:

/etc/init.d/openvpn stop

आइए अब अपार्टमेंट 2 से राउटर पर एक GRE टनल स्थापित करें:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

और बनाए गए इंटरफ़ेस को ब्रिज में जोड़ें:

brctl addif br-lan grelan0

आइए सर्वर राउटर पर एक समान प्रक्रिया करें:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

और, बनाए गए इंटरफ़ेस को ब्रिज में भी जोड़ें:

brctl addif br-lan grelan0

इस क्षण से, पिंग सफलतापूर्वक नए नेटवर्क पर जाना शुरू हो जाता है और मैं संतुष्टि के साथ कॉफी पीने जाता हूं। फिर, यह देखने के लिए कि तार के दूसरे छोर पर नेटवर्क कैसे काम करता है, मैं अपार्टमेंट 2 में कंप्यूटरों में से एक में एसएसएच करने का प्रयास करता हूं, लेकिन एसएसएच क्लाइंट मुझे पासवर्ड के लिए संकेत दिए बिना फ्रीज कर देता है। मैं पोर्ट 22 पर टेलनेट के माध्यम से इस कंप्यूटर से कनेक्ट करने का प्रयास करता हूं और एक लाइन देखता हूं जिससे आप समझ सकते हैं कि कनेक्शन स्थापित किया जा रहा है, एसएसएच सर्वर प्रतिक्रिया दे रहा है, लेकिन किसी कारण से यह मुझे प्रवेश करने की पेशकश नहीं करता है।

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

मैं वीएनसी के माध्यम से इससे जुड़ने का प्रयास कर रहा हूं और मुझे एक काली स्क्रीन दिखाई दे रही है। मैं खुद को समझाता हूं कि मामला रिमोट कंप्यूटर में है, क्योंकि मैं आंतरिक पते का उपयोग करके इस अपार्टमेंट से राउटर से आसानी से जुड़ सकता हूं। हालाँकि, मैंने राउटर के माध्यम से इस कंप्यूटर में SSH करने का निर्णय लिया और मुझे यह देखकर आश्चर्य हुआ कि कनेक्शन सफल हो गया और रिमोट कंप्यूटर ठीक से काम करता है, लेकिन मेरे कंप्यूटर से कनेक्ट होने में भी विफल रहता है।

मैं ग्रेलन0 डिवाइस को ब्रिज से बाहर निकालता हूं और इसे चलाता हूं। OpenVPN अपार्टमेंट 2 में राउटर पर, मैंने पुष्टि की कि नेटवर्क फिर से ठीक से काम कर रहा था और कनेक्शन ड्रॉप नहीं हो रहे थे। खोजते हुए, मुझे ऐसे फ़ोरम मिले जहाँ लोग इसी तरह की समस्याओं की शिकायत कर रहे थे, और उन्हें MTU बढ़ाने की सलाह दी गई थी। मैंने तुरंत ऐसा किया। हालाँकि, जब तक MTU को पर्याप्त रूप से उच्च (gretap डिवाइस के लिए 7000) सेट नहीं किया गया, तब तक मुझे या तो TCP कनेक्शन ड्रॉप होने या धीमी ट्रांसफर गति का सामना करना पड़ा। gretap के लिए उच्च MTU के कारण, कनेक्शन के लिए MTU भी उच्च हो गया। WireGuard पहले और दूसरे स्तर को क्रमशः 8000 और 7500 पर निर्धारित किया गया था।

मैंने अपार्टमेंट 3 से राउटर पर एक समान सेटअप किया, एकमात्र अंतर यह था कि grelan1 नामक एक दूसरा ग्रेटैप इंटरफ़ेस सर्वर राउटर में जोड़ा गया था, जिसे बीआर-लैन ब्रिज में भी जोड़ा गया था।

सब कुछ काम कर रहा है. अब आप ग्रेटैप असेंबली को ऑटोलोड में डाल सकते हैं। इसके लिए:

इन पंक्तियों को अपार्टमेंट 2 में राउटर पर /etc/rc.local में रखें:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

इसे अपार्टमेंट 3 में राउटर पर /etc/rc.local में जोड़ा गया:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

और सर्वर राउटर पर:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

क्लाइंट राउटर को रीबूट करने के बाद, मैंने पाया कि किसी कारणवश वे सर्वर से कनेक्ट नहीं हो रहे थे। उनके SSH से कनेक्ट करने के बाद (सौभाग्य से, मैंने इसके लिए पहले ही sshtunnel कॉन्फ़िगर कर लिया था), मैंने पाया कि WireGuard किसी कारणवश, यह एंडपॉइंट के लिए एक रूट बनाता है, लेकिन वह गलत होता है। उदाहरण के लिए, 192.168.30.2 के लिए, रूट टेबल ने pppoe-wan इंटरफ़ेस के माध्यम से, यानी इंटरनेट के माध्यम से एक रूट निर्दिष्ट किया, जबकि इसका रूट wg0 इंटरफ़ेस के माध्यम से निर्देशित होना चाहिए था। इस रूट को हटाने के बाद, कनेक्शन बहाल हो गया। क्या मुझे कहीं से इसे ठीक करने के निर्देश मिल सकते हैं? WireGuard मैं इन रास्तों को बनाने से बच नहीं सका। इसके अलावा, मुझे यह भी समझ नहीं आया कि यह OpenWRT की विशेषता है या किसी और चीज़ की। WireGuardसमस्या को सुलझाने में ज्यादा समय खर्च किए बिना, मैंने दोनों राउटरों पर टाइमर-लूप स्क्रिप्ट में एक लाइन जोड़ दी जिससे यह रूट डिलीट हो गया:

route del 192.168.30.2

सारांश

पूर्ण अस्वीकृति OpenVPN मैंने अभी तक यह उपलब्धि हासिल नहीं की है, क्योंकि मुझे कभी-कभी लैपटॉप या फोन से नए नेटवर्क से कनेक्ट करने की आवश्यकता होती है, और उन पर ग्रेटैप डिवाइस सेट अप करना आमतौर पर असंभव होता है। हालांकि, इसके बावजूद, मुझे अपार्टमेंटों के बीच डेटा ट्रांसफर की गति में लाभ हुआ है, और उदाहरण के लिए, वीएनसी का उपयोग करना अब परेशानी मुक्त है। पिंग थोड़ा कम हुआ है लेकिन अधिक स्थिर हो गया है।

जब प्रयोग OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

जब प्रयोग WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

यह अधिकतर VPS के उच्च पिंग से प्रभावित होता है जो लगभग 61.5ms है

हालांकि, गति में काफी वृद्धि हुई है। राउटर-सर्वर वाले अपार्टमेंट में मुझे 30 एमबीपीएस की इंटरनेट कनेक्शन गति मिलती है, जबकि अन्य अपार्टमेंट में यह 5 एमबीपीएस है। इसके अलावा, उपयोग के दौरान OpenVPN iperf रीडिंग के अनुसार, मैं नेटवर्क के बीच 3,8 Mbps से अधिक डेटा ट्रांसफर स्पीड प्राप्त करने में असमर्थ था, जबकि WireGuard इसे बढ़ाकर उसी 5 एमबिट/सेकंड तक कर दिया गया।

विन्यास WireGuard वीपीएस पर[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[सहकर्मी]
पब्लिककी = <वीपीएन_1_एमएस_पब्लिक_की>
अनुमत आईपी = 192.168.30.2/32

[सहकर्मी]
पब्लिककी = <वीपीएन_2_एमके2_पब्लिक_की>
अनुमत आईपी = 192.168.30.3/32

[सहकर्मी]
पब्लिककी = <वीपीएन_2_एमके3_पब्लिक_की>
अनुमत आईपी = 192.168.30.4/32

विन्यास WireGuard MS पर (इसे /etc/config/network में जोड़ा गया है)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

विन्यास WireGuard MK2 पर (/etc/config/network में जोड़ा गया)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

विन्यास WireGuard MK3 पर (/etc/config/network में जोड़ा गया)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

द्वितीय स्तर के वीपीएन के लिए वर्णित कॉन्फ़िगरेशन में, मैं ग्राहकों को संकेत देता हूं WireGuard पोर्ट 51821। इसकी आवश्यकता नहीं होनी चाहिए, क्योंकि क्लाइंट किसी भी खाली, गैर-विशेषाधिकार प्राप्त पोर्ट से कनेक्शन स्थापित कर लेगा, लेकिन मैंने ऐसा इसलिए किया ताकि मैं पोर्ट 51821 पर आने वाले UDP कनेक्शनों को छोड़कर, सभी राउटरों के wg0 इंटरफेस पर आने वाले सभी कनेक्शनों को अस्वीकार कर सकूं।

मुझे आशा है कि लेख किसी के लिए उपयोगी होगा।

पुनश्च इसके अलावा, मैं अपनी स्क्रिप्ट साझा करना चाहता हूं जो मेरे नेटवर्क पर एक नया डिवाइस दिखाई देने पर वायरपुशर एप्लिकेशन में मेरे फोन पर एक पुश अधिसूचना भेजती है। यहां स्क्रिप्ट का लिंक दिया गया है: github.com/r0ck3r/device_discover.

अद्यतन: विन्यास OpenVPNसर्वर और क्लाइंट

OpenVPN-सर्वर

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN-ग्राहक

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

प्रमाणपत्र बनाने के लिए मैंने easy-rsa का उपयोग किया।

स्रोत: www.habr.com