გადასვლა OpenVPN on WireGuard ქსელების გაერთიანება ერთ L2 ქსელში

მსურს გაგიზიაროთ ქსელების გაერთიანების ჩემი გამოცდილება სამ გეოგრაფიულად დაშორებულ ბინაში, რომელთაგან თითოეული იყენებს OpenWRT მარშრუტიზატორებს, როგორც კარიბჭეს, ერთ საერთო ქსელში. ქსელების გაერთიანების მეთოდის არჩევისას L3-ს შორის ქვექსელის მარშრუტით და L2-ს შორის ხიდით, როდესაც ქსელის ყველა კვანძი იქნება ერთსა და იმავე ქვექსელში, უპირატესობა მიენიჭა მეორე მეთოდს, რომლის კონფიგურაცია უფრო რთულია, მაგრამ უფრო დიდ შესაძლებლობებს იძლევა, ვინაიდან Wake-on-Lan და DLNA შექმნილ ქსელში დაიგეგმა ტექნოლოგიების გამჭვირვალე გამოყენება.

ნაწილი 1: ფონი

ამ ამოცანის განსახორციელებლად თავდაპირველად შერჩეული პროტოკოლი იყო OpenVPN, რადგან, პირველ რიგში, მას შეუძლია შექმნას ონკანის მოწყობილობა, რომლის ხიდზე დამატებაც პრობლემების გარეშეა შესაძლებელი და მეორეც, OpenVPN ის მხარს უჭერს TCP-ს, რაც ასევე მნიშვნელოვანი იყო, რადგან არცერთ ბინას არ ჰქონდა გამოყოფილი IP მისამართი. STUN-ის გამოყენება ვერ შევძელი, რადგან ჩემი ინტერნეტ პროვაიდერი, რატომღაც, ბლოკავს მისი ქსელებიდან შემომავალ UDP კავშირებს. TCP-მ საშუალება მომცა, VPN სერვერის პორტი SSH-ის გამოყენებით გადამემისამართებინა დაქირავებულ VPS-ზე. მიუხედავად იმისა, რომ ეს მიდგომა მნიშვნელოვან ზედნადებს ქმნის, რადგან მონაცემები ორმაგი დაშიფრულია, არ მინდოდა VPS-ის ჩემს პირად ქსელში ინტეგრირება, რადგან არსებობდა რისკი, რომ მესამე მხარეები მასზე კონტროლს მოიპოვებდნენ. ამიტომ, ასეთი მოწყობილობის ჩემს სახლის ქსელში ქონა ძალიან არასასურველი იყო, ამიტომ გადავწყვიტე, უსაფრთხოებისთვის მნიშვნელოვანი ზედნადები თანხა გადამეხადა.

როუტერზე იმ პორტის გადამისამართებისთვის, სადაც სერვერის განთავსება იყო დაგეგმილი, გამოვიყენე sshtunnel პროგრამა. მისი კონფიგურაციის დეტალებში არ შევალ - ეს საკმაოდ მარტივია. უბრალოდ აღვნიშნავ, რომ მისი დანიშნულება იყო TCP პორტის 1194 გადამისამართება როუტერიდან VPS-ზე. შემდეგ, სერვერი დავაკონფიგურირე. OpenVPN tap0 მოწყობილობაზე, რომელიც br-lan ხიდთან იყო დაკავშირებული. ჩემი ლეპტოპიდან ახლად შექმნილ სერვერთან კავშირის შემოწმების შემდეგ, გაირკვა, რომ პორტის გადამისამართების იდეამ იმუშავა და ჩემი ლეპტოპი როუტერის ქსელის წევრი გახდა, მიუხედავად იმისა, რომ ფიზიკურად მის ნაწილს არ წარმოადგენდა.

ერთადერთი, რაც დარჩა, იყო IP მისამართების განაწილება სხვადასხვა ბინებში ისე, რომ ისინი არ კონფლიქტში მოხვედრილიყვნენ და როუტერების კონფიგურაცია. OpenVPN- კლიენტები.
შეირჩა შემდეგი როუტერის IP მისამართები და DHCP სერვერის დიაპაზონი:

• 192.168.10.1 დიაპაზონით 192.168.10.2 - 192.168.10.80 სერვერისთვის
• 192.168.10.100 დიაპაზონით 192.168.10.101 - 192.168.10.149 როუტერისთვის No2 ბინაში
• 192.168.10.150 დიაპაზონით 192.168.10.151 - 192.168.10.199 როუტერისთვის No3 ბინაში

ასევე აუცილებელი იყო ამ მისამართების კლიენტ როუტერებისთვის მინიჭება. OpenVPN-server, მის კონფიგურაციაში შემდეგი ხაზის დამატებით:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

და დაამატეთ შემდეგი ხაზები /etc/openvpn/ipp.txt ფაილში:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

სადაც flat1_id და flat2_id არის მოწყობილობის სახელები, რომლებიც მითითებულია დაკავშირების სერთიფიკატების შექმნისას. OpenVPN

შემდეგ, როუტერები კონფიგურირებული იყო OpenVPN- კლიენტები, ორივე tap0 მოწყობილობები დაემატა br-lan ხიდს. ამ ეტაპზე ყველაფერი რიგზე ჩანდა, რადგან სამივე ქსელს შეეძლო ერთმანეთის დანახვა და ერთიანი ერთეულის ფუნქცია. თუმცა, საკმაოდ უსიამოვნო დეტალი გამოიკვეთა: ზოგჯერ მოწყობილობები არასწორი როუტერიდან იღებდნენ IP მისამართს, რასაც თან ახლდა ყველა ის შედეგი. რატომღაც, ერთ-ერთ ბინაში მდებარე როუტერმა დროულად ვერ უპასუხა DHCPDISCOVER-ს და მოწყობილობამ არასწორი მისამართი მიიღო. მივხვდი, რომ ასეთი მოთხოვნების გაფილტვრა მჭირდებოდა თითოეულ როუტერზე tap0-ში, მაგრამ როგორც აღმოჩნდა, iptables ვერ მუშაობს მოწყობილობასთან, თუ ის ხიდის ნაწილია, ამიტომ ebtables-ის გამოყენება დამჭირდა. სამწუხაროდ, ჩემს firmware-ში ის არ იყო, ამიტომ თითოეული მოწყობილობისთვის სურათების ხელახლა შექმნა მომიწია. ამის გაკეთების და თითოეული როუტერის /etc/rc.local ფაილში შემდეგი ხაზების დამატების შემდეგ, პრობლემა მოგვარდა:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

ეს კონფიგურაცია გაგრძელდა სამი წლის განმავლობაში.

ნაწილი 2: გაცნობა WireGuard

ბოლო დროს ინტერნეტში სულ უფრო ხშირად საუბრობენ იმაზე, რომ WireGuard, აღფრთოვანებული ვარ მისი კონფიგურაციის სიმარტივით, მაღალი გადაცემის სიჩქარით, დაბალი პინგით და შედარებითი უსაფრთხოებით. მის შესახებ დამატებითი ინფორმაციის მოძიების შემდეგ გამოვლინდა, რომ ის არ უჭერს მხარს არც ხიდის წევრის და არც TCP პროტოკოლის მხარდაჭერას, რამაც დამაჯერა, რომ ალტერნატივა არ არსებობდა. OpenVPN ჩემთვის ეს ჯერ კიდევ არ არის. ამიტომ გადავდე გაცნობა WireGuard.

რამდენიმე დღის წინ, IT-სთან დაკავშირებული რესურსებით გავრცელდა ინფორმაცია, რომ WireGuard საბოლოოდ ბირთვში შევა Linux, დაწყებული 5.6 ვერსიიდან. ახალი ამბების სტატიები, როგორც ყოველთვის, მოწონებით სარგებლობდა. WireGuardკიდევ ერთხელ ჩავეშვი ძველი კარგის ჩანაცვლების გზების ძიებაში OpenVPNამჯერად წავაწყდი ამ მუხლის. საუბარი იყო Ethernet გვირაბის შექმნაზე L3-ზე GRE-ის გამოყენებით. ამ სტატიამ იმედი მომცა. გაურკვეველი დარჩა რა უნდა გაეკეთებინა UDP პროტოკოლთან. ძიებამ მიმიყვანა სტატიებამდე Socat-ის გამოყენების შესახებ SSH გვირაბთან ერთად UDP პორტის გადასატანად, თუმცა, მათ აღნიშნეს, რომ ეს მიდგომა მუშაობს მხოლოდ ერთი კავშირის რეჟიმში, ანუ რამდენიმე VPN კლიენტის მუშაობა შეუძლებელი იქნება. მე გამიჩნდა VPS-ზე VPN სერვერის დაყენების იდეა და კლიენტებისთვის GRE-ის დაყენება, მაგრამ როგორც აღმოჩნდა, GRE არ უჭერს მხარს დაშიფვრას, რაც გამოიწვევს იმ ფაქტს, რომ თუ მესამე მხარე მიიღებს წვდომას სერვერზე , ჩემს ქსელებს შორის მთელი ტრაფიკი მათ ხელში იქნება, რაც საერთოდ არ მაწყობდა.

კიდევ ერთხელ, გადაწყვეტილება მიღებულ იქნა ზედმეტი დაშიფვრის სასარგებლოდ, VPN-ის გამოყენებით VPN-ზე შემდეგი სქემის გამოყენებით:

დონე XNUMX VPN:
VPS არის სერვერი შიდა მისამართით 192.168.30.1
MS არის კლიენტი VPS შიდა მისამართით 192.168.30.2
MK2 არის კლიენტი VPS შიდა მისამართით 192.168.30.3
MK3 არის კლიენტი VPS შიდა მისამართით 192.168.30.4

მეორე დონის VPN:
MS არის სერვერი გარე მისამართით 192.168.30.2 და შიდა 192.168.31.1
MK2 არის კლიენტი MS მისამართით 192.168.30.2 და აქვს შიდა IP 192.168.31.2
MK3 არის კლიენტი MS მისამართით 192.168.30.2 და აქვს შიდა IP 192.168.31.3

* MS — როუტერ-სერვერი ბინაში 1, MK2 - როუტერი ბინა 2, MK3 - როუტერი ბინაში 3
* მოწყობილობის კონფიგურაციები გამოქვეყნებულია სტატიის ბოლოს სპოილერში.

ასე რომ, პინგები გადის ქსელის კვანძებს შორის 192.168.31.0/24, დროა გადავიდეთ GRE გვირაბის დაყენებაზე. მანამდე, იმისათვის, რომ არ დაკარგოთ წვდომა მარშრუტიზატორებზე, ღირს SSH გვირაბების დაყენება 22-ე პორტის VPS-ზე გადასატანად, ასე რომ, მაგალითად, როუტერი 10022 ბინადან ხელმისაწვდომი იქნება VPS-ის 2 პორტზე და როუტერი მე-11122 აპარტამენტიდან ხელმისაწვდომი იქნება პორტ 3 როუტერზე მე-XNUMX აპარტამენტიდან. უმჯობესია გადამისამართების კონფიგურაცია იგივე შტუნელის გამოყენებით, რადგან ის აღადგენს გვირაბს, თუ ის ვერ მოხერხდება.

გვირაბი კონფიგურირებულია, შეგიძლიათ დაუკავშირდეთ SSH-ს გადაგზავნილი პორტის საშუალებით:

ssh root@МОЙ_VPS -p 10022

შემდეგ უნდა გამორთოთ OpenVPN:

/etc/init.d/openvpn stop

ახლა მოდით დავაყენოთ GRE გვირაბი როუტერზე 2 ბინადან:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

და დაამატეთ შექმნილი ინტერფეისი ხიდზე:

brctl addif br-lan grelan0

მოდით გავაკეთოთ მსგავსი პროცედურა სერვერის როუტერზე:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

და ასევე დაამატეთ შექმნილი ინტერფეისი ხიდზე:

brctl addif br-lan grelan0

ამ მომენტიდან პინგები წარმატებით იწყებენ ახალ ქსელში გადასვლას და მე კმაყოფილი მივდივარ ყავის დასალევად. ამის შემდეგ, იმის შესაფასებლად, თუ როგორ მუშაობს ქსელი ხაზის მეორე ბოლოზე, ვცდილობ SSH-ის შეყვანას ბინა 2-ის ერთ-ერთ კომპიუტერში, მაგრამ ssh კლიენტი იყინება პაროლის მოთხოვნის გარეშე. ამ კომპიუტერთან დაკავშირებას ვცდილობ ტელნეტის საშუალებით 22-ე პორტზე და ვხედავ ხაზს, საიდანაც მესმის, რომ კავშირი დამყარებულია, SSH სერვერი პასუხობს, მაგრამ რატომღაც უბრალოდ არ მთხოვს შესვლას in.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

ვცდილობ დაკავშირება VNC-ის საშუალებით და ვნახო შავი ეკრანი. საკუთარ თავს ვრწმუნდები, რომ პრობლემა დისტანციურ კომპიუტერშია, რადგან ამ ბინიდან მარტივად შემიძლია როუტერთან დაკავშირება შიდა მისამართის გამოყენებით. თუმცა, გადავწყვიტე ამ კომპიუტერის SSH-თან დაკავშირება როუტერის საშუალებით და გაკვირვებული აღმოვაჩინე, რომ კავშირი წარმატებულია და დისტანციური კომპიუტერი მუშაობს საკმაოდ ნორმალურად, მაგრამ ის ასევე ვერ უკავშირდება ჩემს კომპიუტერს.

ხიდიდან grelan0 მოწყობილობას ვიღებ და ვრთავ. OpenVPN მე-2 ბინაში მდებარე როუტერზე დავადასტურე, რომ ქსელი ისევ გამართულად მუშაობდა და კავშირები არ წყდებოდა. ძიებისას წავაწყდი ფორუმებს, სადაც ხალხი იმავე პრობლემებზე უჩიოდა და ურჩევდნენ MTU-ს გაზრდას. როგორც კი ვთქვი, მაშინვე გავაკეთე. თუმცა, სანამ MTU საკმარისად მაღლა არ დააყენეს - 7000 Gretap მოწყობილობებისთვის - TCP კავშირები გაითიშა ან გადაცემის სიჩქარე დაბალი იყო. Gretap-ის მაღალი MTU-ს გამო, კავშირებისთვის MTU... WireGuard პირველი და მეორე დონეები, შესაბამისად, 8000 და 7500-ზე იყო დაყენებული.

მე განვახორციელე მსგავსი დაყენება როუტერზე მე-3 აპარტამენტიდან, ერთადერთი განსხვავებით, რომ სერვერის როუტერს დაემატა მეორე gretap ინტერფეისი სახელად grelan1, რომელიც ასევე დაემატა br-lan bridge-ს.

ყველაფერი მუშაობს. ახლა თქვენ შეგიძლიათ ჩართოთ gretap ასამბლეის გაშვებაში. Ამისთვის:

მე მოვათავსე ეს ხაზები /etc/rc.local-ში როუტერზე ბინა 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

დაამატა ეს /etc/rc.local როუტერზე ბინა 3:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

და სერვერის როუტერზე:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

კლიენტის როუტერების გადატვირთვის შემდეგ აღმოვაჩინე, რომ რატომღაც ისინი სერვერს არ უკავშირდებოდნენ. მათ SSH-თან დაკავშირების შემდეგ (საბედნიეროდ, ამისთვის sshtunnel-ი ადრე მქონდა კონფიგურირებული), აღმოვაჩინე, რომ WireGuard რატომღაც, ის ქმნის მარშრუტს საბოლოო წერტილისთვის, მაგრამ ეს არასწორია. მაგალითად, 192.168.30.2-ისთვის, მარშრუტის ცხრილში მითითებული იყო მარშრუტი pppoe-wan ინტერფეისის გავლით, ანუ ინტერნეტის გავლით, თუმცა მასზე მარშრუტი უნდა ყოფილიყო მიმართული wg0 ინტერფეისის გავლით. ამ მარშრუტის წაშლის შემდეგ, კავშირი აღდგა. შემიძლია სადმე ვიპოვო ინსტრუქციები, თუ როგორ გავააქტიურო? WireGuard ამ მარშრუტების შექმნის თავიდან აცილება არ შემეძლო. უფრო მეტიც, ვერც კი გავიგე, ეს OpenWRT-ის ფუნქცია იყო თუ WireGuardპრობლემის გარკვევაში დიდი დროის დახარჯვის გარეშე, ორივე როუტერის ტაიმერის ციკლის სკრიპტში უბრალოდ დავამატე ხაზი, რომელიც ამ მარშრუტს წაშლიდა:

route del 192.168.30.2

შემაჯამებელი

სრული უარყოფა OpenVPN ეს ჯერ არ მიმიღწევია, რადგან ხანდახან ლეპტოპიდან ან ტელეფონიდან ახალ ქსელთან დაკავშირება მჭირდება და მათზე gretap მოწყობილობის დაყენება, როგორც წესი, შეუძლებელია. თუმცა, ამის მიუხედავად, ბინებს შორის მონაცემთა გადაცემის სიჩქარეში უპირატესობა მოვიპოვე და, მაგალითად, VNC-ის გამოყენება ახლა უპრობლემოა. პინგი ოდნავ შემცირდა, მაგრამ უფრო სტაბილური გახდა:

გამოყენებისას OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

გამოყენებისას WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

მასზე უფრო დიდ გავლენას ახდენს VPS-ის მაღალი პინგი, რომელიც არის დაახლოებით 61.5 ms

თუმცა, სიჩქარე მნიშვნელოვნად გაიზარდა. ასე რომ, ბინაში, სადაც როუტერ-სერვერია, ინტერნეტთან დაკავშირების სიჩქარე 30 მბიტ/წმ-ია, ხოლო სხვა ბინებში - 5 მბიტ/წმ. უფრო მეტიც, გამოყენების დროს OpenVPN iperf-ის მონაცემების მიხედვით, ქსელებს შორის მონაცემთა გადაცემის სიჩქარის 3,8 Mbps-ზე მეტის მიღწევა ვერ შევძელი. WireGuard „გაზარდა“ ის იმავე 5 მბიტ/წმ-მდე.

კონფიგურაცია WireGuard VPS-ზე[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[თანატოლი]
საჯარო გასაღები = <VPN_1_MS_PUBLIC_KEY>
დასაშვებია IP = 192.168.30.2/32

[თანატოლი]
საჯარო გასაღები = <VPN_2_MK2_PUBLIC_KEY>
დასაშვებია IP = 192.168.30.3/32

[თანატოლი]
საჯარო გასაღები = <VPN_2_MK3_PUBLIC_KEY>
დასაშვებია IP = 192.168.30.4/32

კონფიგურაცია WireGuard MS-ზე (დამატებულია /etc/config/network-ში)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

კონფიგურაცია WireGuard MK2-ზე (დამატებულია /etc/config/network-ში)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

კონფიგურაცია WireGuard MK3-ზე (დამატებულია /etc/config/network-ში)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

მეორე დონის VPN-ის აღწერილ კონფიგურაციებში, კლიენტებს ვუთითებ WireGuard პორტი 51821. ეს აუცილებელი არ უნდა იყოს, რადგან კლიენტი კავშირს ნებისმიერი თავისუფალი, არაპრივილეგირებული პორტიდან დაამყარებს, მაგრამ მე ეს ასე გავაკეთე, რათა ყველა როუტერის wg0 ინტერფეისებზე ყველა შემომავალი კავშირი უარმეყო, გარდა 51821 პორტზე შემომავალი UDP კავშირებისა.

იმედი მაქვს, რომ სტატია ვინმესთვის სასარგებლო იქნება.

PS ასევე, მინდა გავაზიარო ჩემი სკრიპტი, რომელიც გამომიგზავნის PUSH შეტყობინებას ჩემს ტელეფონზე WirePusher აპლიკაციაში, როდესაც ჩემს ქსელში ახალი მოწყობილობა გამოჩნდება. აქ არის სკრიპტის ბმული: github.com/r0ck3r/device_discover.

განახლების თარიღი: კონფიგურაცია OpenVPN- სერვერები და კლიენტები

OpenVPN- სერვერი

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN-კლიენტი

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

მე გამოვიყენე easy-rsa სერთიფიკატების გენერირებისთვის

წყარო: www.habr.com