VÄlos dalÄ«ties pieredzÄ par tÄ«klu apvienoÅ”anu trÄ«s Ä£eogrÄfiski attÄlos dzÄ«vokļos, no kuriem katrs izmanto marÅ”rutÄtÄjus ar OpenWRT kÄ vÄrteju, vienÄ kopÄjÄ tÄ«klÄ. IzvÄloties metodi tÄ«klu apvienoÅ”anai starp L3 ar apakÅ”tÄ«kla marÅ”rutÄÅ”anu un L2 ar tiltu, kad visi tÄ«kla mezgli atradÄ«sies vienÄ apakÅ”tÄ«klÄ, priekÅ”roka tika dota otrajai metodei, kas ir grÅ«tÄk konfigurÄjama, taÄu sniedz vairÄk iespÄju, jo ir caurspÄ«dÄ«ga. tehnoloÄ£iju izmantoÅ”ana tika plÄnota izveidotajÄ tÄ«klÄ Wake-on-Lan un DLNA.
1. daļa: fons
SÄkotnÄji kÄ Å”Ä« uzdevuma Ä«stenoÅ”anas protokols tika izvÄlÄts OpenVPN, jo, pirmkÄrt, tas var izveidot pieskÄrienu ierÄ«ci, ko var bez problÄmÄm pievienot tiltam, un, otrkÄrt, OpenVPN atbalsta darbÄ«bu pÄr TCP protokolu, kas arÄ« bija svarÄ«gi, jo nevienam no dzÄ«vokļiem nebija speciÄlas IP adreses, un es nevarÄju izmantot STUN, jo mans ISP nez kÄpÄc bloÄ·Ä ienÄkoÅ”os UDP savienojumus no viÅu tÄ«kliem, savukÄrt TCP protokols ļÄva pÄrsÅ«tÄ«t VPN servera portu uz Ä«rÄtu VPS, izmantojot SSH. JÄ, Ŕī pieeja rada lielu slodzi, jo dati tiek Å”ifrÄti divreiz, bet es nevÄlÄjos ieviest VPS savÄ privÄtajÄ tÄ«klÄ, jo joprojÄm pastÄvÄja risks, ka treÅ”Äs personas pÄrÅems kontroli pÄr to, tÄpÄc ir Å”Äda ierÄ«ce. mÄjas tÄ«klÄ bija ÄrkÄrtÄ«gi nevÄlama, un tika nolemts maksÄt par droŔību ar lielÄm pieskaitÄmÄm izmaksÄm.
Lai pÄrsÅ«tÄ«tu portu marÅ”rutÄtÄjÄ, kurÄ bija plÄnots izvietot serveri, tika izmantota programma sshtunnel. Es neaprakstÄ«Å”u tÄ konfigurÄcijas smalkumus - tas tiek darÄ«ts diezgan vienkÄrÅ”i, es tikai atzÄ«mÄju, ka tÄ uzdevums bija pÄrsÅ«tÄ«t TCP portu 1194 no marÅ”rutÄtÄja uz VPS. PÄc tam OpenVPN serveris tika konfigurÄts tap0 ierÄ«cÄ, kas bija savienota ar br-lan tiltu. PÄrbaudot savienojumu ar jaunizveidoto serveri no klÄpjdatora, kļuva skaidrs, ka portu pÄradresÄcijas ideja sevi attaisno un mans klÄpjdators kļuva par marÅ”rutÄtÄja tÄ«kla dalÄ«bnieku, lai gan fiziski tajÄ nebija.
Lieta palika maza: bija nepiecieÅ”ams izplatÄ«t IP adreses dažÄdos dzÄ«vokļos, lai tÄs nekonfliktÄtu, un konfigurÄt marÅ”rutÄtÄjus kÄ OpenVPN klientus.
Tika atlasÄ«tas Å”Ädas marÅ”rutÄtÄja IP adreses un DHCP servera diapazoni:
- 192.168.10.1 ar diapazonu 192.168.10.2 SÄkot no 192.168.10.80 serverim
- 192.168.10.100 ar diapazonu 192.168.10.101 SÄkot no 192.168.10.149 par rÅ«teri dzÄ«voklÄ« Nr.2
- 192.168.10.150 ar diapazonu 192.168.10.151 SÄkot no 192.168.10.199 par rÅ«teri dzÄ«voklÄ« Nr.3
TÄpat bija nepiecieÅ”ams pieŔķirt tieÅ”i Ŕīs adreses OpenVPN servera klientu marÅ”rutÄtÄjiem, pievienojot rindu tÄ konfigurÄcijai:
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
un pievienojot /etc/openvpn/ipp.txt failam Å”Ädas rindas:
flat1_id 192.168.10.100
flat2_id 192.168.10.150
kur flat1_id un flat2_id ir ierÄ«Äu nosaukumi, kas norÄdÄ«ti, Ä£enerÄjot sertifikÄtus savienojumam ar OpenVPN
PÄc tam marÅ”rutÄtÄjos tika konfigurÄti OpenVPN klienti, abos tap0 ierÄ«ces tika pievienotas br-lan tiltam. Å ajÄ posmÄ viss Ŕķita kÄrtÄ«bÄ, jo visi trÄ«s tÄ«kli redz viens otru un darbojas kopumÄ. TomÄr izrÄdÄ«jÄs ne pÄrÄk patÄ«kama detaļa: dažreiz ierÄ«ces varÄja iegÅ«t IP adresi nevis no sava marÅ”rutÄtÄja, ar visÄm no tÄ izrietoÅ”ajÄm sekÄm. KÄdu iemeslu dÄļ marÅ”rutÄtÄjs vienÄ no dzÄ«vokļiem nepaguva laikus atbildÄt uz DHCPDISCOVER un ierÄ«ce saÅÄma nepareizu adresi. Es sapratu, ka man ir jÄfiltrÄ Å”Ädi pieprasÄ«jumi tap0 katrÄ marÅ”rutÄtÄjÄ, taÄu, kÄ izrÄdÄ«jÄs, iptables nevar strÄdÄt ar ierÄ«ci, ja tÄ ir daļa no tilta, un ebtables vajadzÄtu man palÄ«dzÄt. DiemžÄl tas nebija manÄ programmaparatÅ«rÄ, un man bija jÄpÄrveido attÄli katrai ierÄ«cei. To darot un pievienojot Ŕīs rindas katra marÅ”rutÄtÄja /etc/rc.local, problÄma tika atrisinÄta:
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
Å Ä« konfigurÄcija ilga trÄ«s gadus.
2. daļa: Iepazīstieties ar WireGuard
PÄdÄjÄ laikÄ internetÄ arvien vairÄk tiek runÄts par WireGuard, apbrÄ«nojot tÄ konfigurÄcijas vienkÄrŔību, lielu pÄrsÅ«tÄ«Å”anas Ätrumu, zemu ping ar salÄ«dzinÄmu droŔību. MeklÄjot vairÄk informÄcijas par to, kļuva skaidrs, ka tas neatbalsta ne darbu kÄ tilta dalÄ«bnieks, ne darbu pÄr TCP protokolu, kas lika man domÄt, ka man joprojÄm nav alternatÄ«vu OpenVPN. TÄpÄc es atliku iepazÄ«Å”anos ar WireGuard.
Pirms dažÄm dienÄm caur resursiem, kas tÄ vai citÄdi saistÄ«ti ar IT, izplatÄ«jÄs ziÅa, ka WireGuard beidzot tiks iekļauts Linux kodolÄ, sÄkot ar versiju 5.6. ZiÅu raksti, kÄ vienmÄr, slavÄja WireGuard. Es atkal iegrimu meklÄjumos, kÄ aizstÄt veco labo OpenVPN. Å oreiz es uzskrÄju
Atkal tika pieÅemts lÄmums par labu liekajai Å”ifrÄÅ”anai, izmantojot VPN, izmantojot VPN saskaÅÄ ar Å”Ädu shÄmu:
XNUMX. slÄÅa VPN:
VPS ir serveris ar iekÅ”Äjo adresi 192.168.30.1
MS ir klients VPS ar iekÅ”Äjo adresi 192.168.30.2
ŠŠ2 ir klients VPS ar iekÅ”Äjo adresi 192.168.30.3
ŠŠ3 ir klients VPS ar iekÅ”Äjo adresi 192.168.30.4
XNUMX. slÄÅa VPN:
MS ir serveris ar ÄrÄjo adresi 192.168.30.2 un iekÅ”Äjo 192.168.31.1
ŠŠ2 ir klients MS ar adresi 192.168.30.2 un iekÅ”Äjais IP ir 192.168.31.2
ŠŠ3 ir klients MS ar adresi 192.168.30.2 un iekÅ”Äjais IP ir 192.168.31.3
* MS - marÅ”rutÄtÄjs-serveris dzÄ«voklÄ« 1, ŠŠ2 - marÅ”rutÄtÄjs 2. dzÄ«voklÄ«, ŠŠ3 - marÅ”rutÄtÄjs 3. dzÄ«voklÄ«
* IerÄ«Äu konfigurÄcijas ir publicÄtas spoilerÄ« raksta beigÄs.
Un tÄ, pings starp tÄ«kla 192.168.31.0/24 mezgliem iet, ir pienÄcis laiks pÄriet uz GRE tuneļa iestatÄ«Å”anu. Pirms tam, lai nezaudÄtu piekļuvi marÅ”rutÄtÄjiem, ir vÄrts izveidot SSH tuneļus 22. porta pÄrsÅ«tÄ«Å”anai uz VPS, lai, piemÄram, VPS 10022. portÄ bÅ«tu pieejams marÅ”rutÄtÄjs no 2. dzÄ«vokļa, un marÅ”rutÄtÄjs no 11122. dzÄ«vokļa bÅ«s pieejams VPS portÄ 3. rÅ«teris no dzÄ«vokļa XNUMX. PÄradresÄciju vislabÄk konfigurÄt ar to paÅ”u sshtuneli, jo tas atjaunos tuneli, ja tas nokrÄ«t.
Tunelis ir konfigurÄts, jÅ«s varat izveidot savienojumu ar SSH, izmantojot pÄrsÅ«tÄ«to portu:
ssh root@ŠŠŠ_VPS -p 10022
PÄc tam atspÄjojiet OpenVPN:
/etc/init.d/openvpn stop
Tagad izveidosim GRE tuneli marÅ”rutÄtÄjÄ no 2. dzÄ«vokļa:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up
Un pievienojiet izveidoto saskarni tiltam:
brctl addif br-lan grelan0
Veiksim lÄ«dzÄ«gu procedÅ«ru servera marÅ”rutÄtÄjÄ:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up
Un arī pievienojiet izveidoto saskarni tiltam:
brctl addif br-lan grelan0
no Ŕī brīža ping sÄk veiksmÄ«gi iet uz jauno tÄ«klu un es ar gandarÄ«jumu dodos dzert kafiju. PÄc tam, lai redzÄtu, kÄ darbojas tÄ«kls otrÄ vada galÄ, mÄÄ£inu SSH vienÄ no 2. dzÄ«vokļa datoriem, taÄu ssh klients sastingst, neprasot ievadÄ«t paroli. MÄÄ£inu pieslÄgties Å”im datoram caur telnet 22. portÄ un redzu rindiÅu, no kuras var saprast, ka savienojums tiek izveidots, SSH serveris atbild, bet nez kÄpÄc man nepiedÄvÄ ieiet.
$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1
Es mÄÄ£inu izveidot savienojumu ar to, izmantojot VNC, un es redzu melnu ekrÄnu. PÄrliecinu sevi, ka lieta ir attÄlajÄ datorÄ, jo no Ŕī dzÄ«vokļa varu viegli pieslÄgties marÅ”rutÄtÄjam, izmantojot iekÅ”Äjo adresi. TomÄr es nolemju SSH Å”ajÄ datorÄ, izmantojot marÅ”rutÄtÄju, un esmu pÄrsteigts, konstatÄjot, ka savienojums ir veiksmÄ«gs un attÄlais dators darbojas labi, bet arÄ« neizdodas izveidot savienojumu ar manu datoru.
Es izÅemu grelan0 ierÄ«ci no tilta un startÄju OpenVPN marÅ”rutÄtÄjÄ 2. dzÄ«voklÄ« un pÄrliecinos, ka tÄ«kls atkal darbojas pareizi un savienojumi nekrÄ«t. MeklÄjot es sastopu forumus, kur cilvÄki sÅ«dzas par tÄm paÅ”Äm problÄmÄm, kur viÅiem tiek ieteikts paaugstinÄt MTU. Ne ÄtrÄk pateikts, kÄ izdarÄ«ts. TomÄr, lÄ«dz MTU tika iestatÄ«ts uz pietiekami lielu vÄrtÄ«bu 7000 gretap ierÄ«cÄm, tika novÄroti TCP savienojumi vai lÄna pÄrraide. SakarÄ ar lielo gretap MTU, pirmÄ un otrÄ lÄ«meÅa WireGuard savienojumu MTU tika iestatÄ«ti attiecÄ«gi uz 8000 un 7500.
Es veicu lÄ«dzÄ«gu iestatÄ«Å”anu marÅ”rutÄtÄjam no 3. dzÄ«vokļa, ar vienÄ«go atŔķirÄ«bu, ka servera marÅ”rutÄtÄjam tika pievienots otrs gretap interfeiss ar nosaukumu grelan1, kas tika pievienots arÄ« br-lan tiltam.
Viss darbojas. Tagad jÅ«s varat ievietot gretap komplektu automÄtiskajÄ ielÄdei. PriekÅ” Ŕī:
Å Ä«s rindiÅas ievietoja marÅ”rutÄtÄjÄ 2. dzÄ«vokļa mapÄ /etc/rc.local:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Tas ir pievienots 3. dzÄ«vokļa marÅ”rutÄtÄjÄ /etc/rc.local:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Un servera marÅ”rutÄtÄjÄ:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1
PÄc klientu marÅ”rutÄtÄju pÄrstartÄÅ”anas es atklÄju, ka kaut kÄdu iemeslu dÄļ tie nav izveidojuÅ”i savienojumu ar serveri. PieslÄdzoties viÅu SSH (par laimi, es tam iepriekÅ” biju konfigurÄjis sshtunnel), tika atklÄts, ka WireGuard kaut kÄdu iemeslu dÄļ izveido galapunkta marÅ”rutu, taÄu tas ir nepareizs. TÄtad 192.168.30.2 marÅ”ruta tabula tika norÄdÄ«ta marÅ”ruta tabulÄ, izmantojot saskarni pppoe-wan, tas ir, izmantojot internetu, lai gan marÅ”rutam uz to vajadzÄja bÅ«t novirzÄ«tam caur wg0 saskarni. PÄc Ŕī marÅ”ruta dzÄÅ”anas savienojums tika atjaunots. Es nekur nevarÄju atrast norÄdÄ«jumus, kÄ piespiest WireGuard neveidot Å”os marÅ”rutus. TurklÄt es pat nesapratu, vai tÄ ir OpenWRT vai paÅ”a WireGuard funkcija. Ilgi nerisinot Å”o problÄmu, es vienkÄrÅ”i pievienoju abiem marÅ”rutÄtÄjiem skriptÄ, ko cilpa taimeris, rindiÅu, kas izdzÄsa Å”o marÅ”rutu:
route del 192.168.30.2
SummÄjot
Es vÄl neesmu pilnÄ«bÄ noraidÄ«jis OpenVPN, jo dažreiz man ir jÄpievienojas jaunam tÄ«klam no klÄpjdatora vai tÄlruÅa, un gretap ierÄ«ces iestatÄ«Å”ana tajos parasti nav iespÄjama, taÄu, neskatoties uz to, es ieguvu priekÅ”rocÄ«bas datu pÄrsÅ«tÄ«Å”anÄ. Ätrums starp dzÄ«vokļiem un, piemÄram, VNC lietoÅ”ana vairs nav neÄrta. Ping nedaudz samazinÄjÄs, bet kļuva stabilÄks:
Izmantojot OpenVPN:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms
Izmantojot WireGuard:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms
To galvenokÄrt ietekmÄ liela ping uz VPS, kas ir aptuveni 61.5 ms
TomÄr Ätrums ir ievÄrojami palielinÄjies. TÄtad dzÄ«voklÄ« ar rÅ«teri-serveri man interneta pieslÄguma Ätrums ir 30 Mb/s, bet citos dzÄ«vokļos 5 Mb/s. TajÄ paÅ”Ä laikÄ, izmantojot OpenVPN, es nevarÄju sasniegt datu pÄrraides Ätrumu starp tÄ«kliem, kas pÄrsniedz 3,8 Mbps saskaÅÄ ar iperf, savukÄrt WireGuard to "uzsÅ«knÄja" lÄ«dz tiem paÅ”iem 5 Mbps.
WireGuard konfigurÄcija VPS[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_ŠŠŠÆ_VPS>
[Peer]
PublicKey = <ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_ŠŠ”>
AllowedIPs = 192.168.30.2/32
[Peer]
PublicKey = <ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ2>
AllowedIPs = 192.168.30.3/32
[Peer]
PublicKey = <ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ3>
AllowedIPs = 192.168.30.4/32
WireGuard konfigurÄcija MS (pievienota /etc/config/network)
#VPN ŠæŠµŃŠ²Š¾Š³Š¾ ŃŃŠ¾Š²Š½Ń - ŠŗŠ»ŠøŠµŠ½Ń
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.2/24'
option private_key 'ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_ŠŠ”'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_VPS'
option endpoint_port '51820'
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_ŠŠŠ ŠŠ”_VPS'
#VPN Š²ŃŠ¾ŃŠ¾Š³Š¾ ŃŃŠ¾Š²Š½Ń - ŃŠµŃŠ²ŠµŃ
config interface 'wg1'
option proto 'wireguard'
option private_key 'ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ”'
option listen_port '51821'
list addresses '192.168.31.1/24'
option auto '1'
option mtu '7500'
config wireguard_wg1
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ2'
list allowed_ips '192.168.31.2'
config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ3'
list allowed_ips '192.168.31.3'
WireGuard konfigurÄcija uz MK2 (pievienota /etc/config/network)
#VPN ŠæŠµŃŠ²Š¾Š³Š¾ ŃŃŠ¾Š²Š½Ń - ŠŗŠ»ŠøŠµŠ½Ń
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.3/24'
option private_key 'ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_ŠŠ2'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_ŠŠŠ ŠŠ”_VPS'
#VPN Š²ŃŠ¾ŃŠ¾Š³Š¾ ŃŃŠ¾Š²Š½Ń - ŠŗŠ»ŠøŠµŠ½Ń
config interface 'wg1'
option proto 'wireguard'
option private_key 'ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ2'
list addresses '192.168.31.2/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ”'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
WireGuard konfigurÄcija uz MK3 (pievienota /etc/config/network)
#VPN ŠæŠµŃŠ²Š¾Š³Š¾ ŃŃŠ¾Š²Š½Ń - ŠŗŠ»ŠøŠµŠ½Ń
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.4/24'
option private_key 'ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_ŠŠ3'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_ŠŠŠ ŠŠ”_VPS'
#VPN Š²ŃŠ¾ŃŠ¾Š³Š¾ ŃŃŠ¾Š²Š½Ń - ŠŗŠ»ŠøŠµŠ½Ń
config interface 'wg1'
option proto 'wireguard'
option private_key 'ŠŠŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ3'
list addresses '192.168.31.3/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ŠŠ¢ŠŠ Š«Š¢Š«Š_ŠŠŠ®Š§_VPN_2_ŠŠ”'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
AprakstÄ«tajÄs otrÄ lÄ«meÅa VPN konfigurÄcijÄs WireGuard klientiem norÄdÄ«ju portu 51821. TeorÄtiski tas nav nepiecieÅ”ams, jo klients izveidos savienojumu no jebkura bezmaksas nepriviliÄ£ÄtÄ porta, bet es izdarÄ«ju tÄ, lai visi ienÄkoÅ”ie savienojumi var liegt visu marÅ”rutÄtÄju wg0 saskarnÄs, izÅemot ienÄkoÅ”os UDP savienojumus portÄ 51821.
Ceru, ka raksts kÄdam noderÄs.
PS TÄpat es vÄlos kopÄ«got savu skriptu, kas man sÅ«ta PUSH paziÅojumu uz manu tÄlruni lietojumprogrammÄ WirePusher, kad manÄ tÄ«klÄ parÄdÄs jauna ierÄ«ce. Å eit ir saite uz skriptu:
UPDATE: OpenVPN servera un klientu konfigurÄcija
OpenVPN serveris
client-to-client
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key
dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo
OpenVPN klients
client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind
ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem
comp-lzo
persist-tun
persist-key
verb 3
SertifikÄtu Ä£enerÄÅ”anai izmantoju easy-rsa.
Avots: www.habr.com