Би газарзүйн хувьд алслагдсан гурван орон сууцны сүлжээг нэгтгэж, OpenWRT чиглүүлэгчийг гарц болгон ашиглаж, нэг нийтлэг сүлжээнд оруулсан туршлагаа хуваалцахыг хүсч байна. Бүх сүлжээний зангилаа нэг дэд сүлжээнд байх үед L3-ыг дэд сүлжээний чиглүүлэлттэй, L2-ийг гүүртэй холбох аргыг сонгохдоо тохируулахад илүү төвөгтэй боловч илүү их боломжийг олгодог хоёр дахь аргыг илүүд үздэг. Wake-on-Lan болон DLNA-г үүсгэн байгуулж буй сүлжээнд технологийн ил тод хэрэглээг төлөвлөсөн.
1-р хэсэг: Суурь мэдээлэл
Энэ даалгаврыг хэрэгжүүлэхээр сонгосон протокол нь анх OpenVPN, учир нь, нэгдүгээрт, энэ нь ямар ч асуудалгүйгээр гүүрэн дээр нэмж болох цоргоны төхөөрөмжийг үүсгэж чаддаг, хоёрдугаарт, OpenVPN Энэ нь TCP-г дэмждэг бөгөөд энэ нь бас чухал байсан, учир нь аль ч орон сууцанд зориулалтын IP хаяг байгаагүй. Миний ISP ямар нэгэн шалтгаанаар сүлжээнээсээ ирж буй UDP холболтыг хаадаг тул би STUN-г ашиглаж чадаагүй. TCP нь надад VPN серверийн портыг SSH ашиглан түрээсэлсэн VPS руу дамжуулах боломжийг олгосон. Энэ арга нь өгөгдөл давхар шифрлэгдсэн тул ихээхэн хэмжээний зардал үүсгэдэг ч би VPS-ийг хувийн сүлжээндээ нэгтгэхийг хүсээгүй, учир нь гуравдагч этгээд үүнийг хянах эрсдэлтэй байсан. Тиймээс гэрийн сүлжээндээ ийм төхөөрөмжтэй байх нь маш хүсээгүй тул би аюулгүй байдлын үүднээс ихээхэн хэмжээний зардал төлөхөөр шийдсэн.
Серверийг байршуулахаар төлөвлөж байсан чиглүүлэгч дээрх портыг дамжуулахын тулд би sshtunnel програмыг ашигласан. Би түүний тохиргооны талаар дэлгэрэнгүй ярихгүй - энэ нь маш хялбар. Үүний зорилго нь чиглүүлэгчээс VPS руу TCP порт 1194-ийг дамжуулах байсан гэдгийг л тэмдэглэе. Дараа нь би серверийг тохируулсан. OpenVPN br-lan гүүртэй холбогдсон tap0 төхөөрөмж дээр. Зөөврийн компьютерээсээ шинээр үүсгэсэн сервертэй холболтыг туршиж үзсэний дараа порт дамжуулах санаа үр дүнтэй болсон нь тодорхой болсон бөгөөд миний зөөврийн компьютер чиглүүлэгчийн сүлжээний нэг хэсэг биш байсан ч гэсэн түүний сүлжээний гишүүн болсон.
Үлдсэн цорын ганц зүйл бол IP хаягуудыг өөр өөр орон сууцанд тарааж, тэдгээр нь зөрчилдөхгүй байх, чиглүүлэгчдийг дараах байдлаар тохируулах явдал байв. OpenVPN-үйлчлүүлэгчид.
Дараах чиглүүлэгчийн IP хаягууд болон DHCP серверийн мужуудыг сонгосон.
- 192.168.10.1 хүрээтэй 192.168.10.2 - 192.168.10.80 серверийн хувьд
- 192.168.10.100 хүрээтэй 192.168.10.101 - 192.168.10.149 2-р орон сууцны чиглүүлэгчийн хувьд
- 192.168.10.150 хүрээтэй 192.168.10.151 - 192.168.10.199 3-р орон сууцны чиглүүлэгчийн хувьд
Мөн эдгээр хаягийг үйлчлүүлэгчийн чиглүүлэгчдэд оноох шаардлагатай байсан. OpenVPN-сервер, тохиргоондоо дараах мөрийг нэмж оруулна уу:
ifconfig-pool-persist /etc/openvpn/ipp.txt 0/etc/openvpn/ipp.txt файлд дараах мөрүүдийг нэмнэ:
flat1_id 192.168.10.100
flat2_id 192.168.10.150
энд flat1_id болон flat2_id нь холбогдохын тулд гэрчилгээ үүсгэх үед заасан төхөөрөмжийн нэрс юм. OpenVPN
Дараа нь чиглүүлэгчүүдийг тохируулсан OpenVPN- үйлчлүүлэгчид, хоёр талын tap0 төхөөрөмжүүдийг br-lan гүүрэнд нэмсэн. Энэ үед бүх зүйл зүгээр юм шиг санагдаж байсан, учир нь гурван сүлжээ бүгд бие биенээ харж, нэг нэгж болж ажиллах боломжтой байв. Гэсэн хэдий ч нэлээд таагүй нарийн ширийн зүйл гарч ирэв: заримдаа төхөөрөмжүүд буруу чиглүүлэгчээс IP хаяг хүлээн авч, үүнээс үүдэн гарах бүх үр дагаварт хүргэдэг байв. Ямар нэгэн шалтгаанаар орон сууцны нэгний чиглүүлэгч DHCPDISCOVER-д цаг тухайд нь хариу өгөөгүй бөгөөд төхөөрөмж буруу хаяг хүлээн авсан. Би чиглүүлэгч бүр дээр tap0 дээр ийм хүсэлтийг шүүх шаардлагатайг ойлгосон боловч iptables нь гүүрний нэг хэсэг бол төхөөрөмжтэй ажиллах боломжгүй болсон тул би ebtables ашиглах шаардлагатай болсон. Харамсалтай нь миний firmware үүнийг агуулаагүй тул би төхөөрөмж бүрийн зургийг дахин бүтээх шаардлагатай болсон. Үүнийг хийж, чиглүүлэгч бүр дээр /etc/rc.local файлд дараах мөрүүдийг нэмсний дараа асуудал шийдэгдсэн:
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
Энэ тохиргоо нь гурван жил үргэлжилсэн.
2-р хэсэг: Танилцах WireGuard
Сүүлийн үед интернэтээр энэ талаарх яриа ихсэж байна WireGuard, тохиргооны хялбар байдал, өндөр дамжуулалтын хурд, бага пинг болон харьцуулж болохуйц аюулгүй байдлыг нь биширдэг. Үүний талаар нэмэлт мэдээлэл хайхад энэ нь гүүрний гишүүн эсвэл TCP протоколын дэмжлэгийг дэмждэггүй болох нь тогтоогдсон бөгөөд энэ нь өөр хувилбар байхгүй гэдэгт итгэхэд хүргэсэн. OpenVPN миний хувьд энэ нь одоо хүртэл байхгүй байна. Тиймээс би мэдэхээ хойшлуулсан WireGuard.
Хэдхэн хоногийн өмнө мэдээллийн технологитой холбоотой эх сурвалжуудаар мэдээ тархсан бөгөөд энэ нь WireGuard эцэст нь цөмд багтах болно Linux, 5.6 хувилбараас эхлэн. Мэдээний нийтлэлүүд үргэлж магтагдсан. WireGuardБи дахин нэг удаа хуучин сайн зүйлийг орлуулах арга замыг хайж эхлэв OpenVPNЭнэ удаад би дайрч орлоо . Энэ нь GRE ашиглан L3 дээр Ethernet туннель үүсгэх тухай ярьсан. Энэ нийтлэл надад итгэл найдвар төрүүлэв. UDP протоколтой юу хийх нь тодорхойгүй хэвээр байв. Хайлтын үр дүнд намайг UDP портыг дамжуулахын тулд socat-ийг SSH туннелтэй хамт ашиглах тухай нийтлэлүүд рүү хөтөлсөн боловч энэ арга нь зөвхөн нэг холболтын горимд ажилладаг, өөрөөр хэлбэл хэд хэдэн VPN клиентүүдийн ажил боломжгүй гэдгийг тэмдэглэв. Би VPN серверийг VPS дээр суулгаж, үйлчлүүлэгчдэд зориулсан GRE-г тохируулах санааг олсон боловч GRE нь шифрлэлтийг дэмждэггүй бөгөөд энэ нь гуравдагч этгээд серверт нэвтрэх эрхийг олж авахад хүргэнэ. , миний сүлжээ хоорондын бүх урсгал тэдний гарт байх болно, энэ нь надад огт тохирохгүй байсан.
Дараах схемийг ашиглан VPN-ээр VPN ашиглан дахин шифрлэх шийдвэрийг дахин гаргав.
XNUMX-р түвшний VPN:
VPS Энэ нь сервер 192.168.30.1 дотоод хаягтай
MC Энэ нь үйлчлүүлэгч 192.168.30.2 дотоод хаягтай VPS
MK2 Энэ нь үйлчлүүлэгч 192.168.30.3 дотоод хаягтай VPS
MK3 Энэ нь үйлчлүүлэгч 192.168.30.4 дотоод хаягтай VPS
Хоёр дахь түвшний VPN:
MC Энэ нь сервер гадаад хаяг 192.168.30.2, дотоод 192.168.31.1
MK2 Энэ нь үйлчлүүлэгч MC 192.168.30.2 хаягтай ба дотоод IP 192.168.31.2
MK3 Энэ нь үйлчлүүлэгч MC 192.168.30.2 хаягтай ба дотоод IP 192.168.31.3
* MC - 1-р байранд чиглүүлэгч-сервер, MK2 - 2-р байранд чиглүүлэгч, MK3 - орон сууц 3 дахь чиглүүлэгч
* Төхөөрөмжийн тохиргоог нийтлэлийн төгсгөлд спойлерт нийтэлсэн болно.
Тиймээс 192.168.31.0/24 сүлжээний зангилааны хооронд пингүүд ажиллаж байгаа тул GRE туннелийг тохируулах цаг болжээ. Үүнээс өмнө чиглүүлэгчид хандах эрхээ алдахгүйн тулд 22-р портыг VPS руу шилжүүлэхийн тулд SSH хонгилуудыг тохируулах нь зүйтэй бөгөөд жишээлбэл, 10022-р байрны чиглүүлэгч нь VPS-ийн 2 порт дээр нэвтрэх боломжтой болно. Орон сууцны 11122-ын чиглүүлэгчийг 3-р портоос XNUMX-р байрнаас чиглүүлэгч рүү хандах боломжтой. Дамжуулагчийг ижил sshtunnel ашиглан тохируулах нь хамгийн сайн арга юм, учир нь энэ нь амжилтгүй болсон тохиолдолд туннелийг сэргээх болно.
Хонгилыг тохируулсан тул та дамжуулсан портоор дамжуулан SSH-тэй холбогдож болно.
ssh root@МОЙ_VPS -p 10022Дараа нь та идэвхгүй болгох хэрэгтэй OpenVPN:
/etc/init.d/openvpn stopОдоо 2-р байрнаас чиглүүлэгч дээр GRE туннелийг суулгацгаая.
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up
Үүсгэсэн интерфейсийг гүүрэнд нэмнэ үү:
brctl addif br-lan grelan0
Үүнтэй төстэй процедурыг сервер чиглүүлэгч дээр хийцгээе:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up
Мөн үүсгэсэн интерфейсийг гүүрэнд нэмнэ үү:
brctl addif br-lan grelan0
Энэ мөчөөс эхлэн пинг шинэ сүлжээнд амжилттай нэвтэрч, би сэтгэл хангалуун кофе уухаар явлаа. Дараа нь шугамын нөгөө төгсгөлд сүлжээ хэрхэн ажиллаж байгааг үнэлэхийн тулд би 2-р байрны компьютеруудын аль нэгэнд SSH хийхийг оролдсон боловч ssh клиент нууц үг асуухгүйгээр хөлддөг. Би энэ компьютерт 22-р портын telnet-ээр холбогдохыг оролдож байгаа бөгөөд холболт хийгдэж байна, SSH сервер хариу өгч байна гэсэн мөрийг харж байна, гэхдээ ямар нэг шалтгааны улмаас энэ нь намайг нэвтрэхийг шаардахгүй байна. in.
$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1
Би үүнтэй VNC-ээр холбогдож хар дэлгэцийг харах гэж оролдож байна. Асуудал нь алсын компьютерт байгаа гэдэгт би өөрийгөө итгүүлж байна, учир нь би энэ байрнаас чиглүүлэгч рүү дотоод хаягийг ашиглан хялбархан холбогдож чадна. Гэсэн хэдий ч би энэ компьютерийн SSH руу чиглүүлэгчээр холбогдохоор шийдсэн бөгөөд холболт амжилттай болж, алсын компьютер хэвийн ажиллаж байгаа боловч миний компьютерт холбогдож чадахгүй байгааг хараад гайхаж байна.
Би grelan0 төхөөрөмжийг гүүрнээс гаргаж аваад ажиллуулдаг OpenVPN 2-р байрны чиглүүлэгч дээр би сүлжээ дахин зөв ажиллаж байгаа бөгөөд холболтууд тасрахгүй байгааг баталгаажуулсан. Хайлт хийж байхдаа би хүмүүс ижил асуудлын талаар гомдоллож, MTU-г нэмэгдүүлэхийг зөвлөсөн форумуудтай таарсан. Хэлсэн даруйдаа л хийж дуусгасан. Гэсэн хэдий ч MTU-г хангалттай өндөр буюу gretap төхөөрөмжүүдийн хувьд 7000 хүртэл би TCP холболтууд тасалдсан эсвэл дамжуулах хурд бага байсан. Gretap-ийн MTU өндөр тул холболтуудын MTU WireGuard Эхний болон хоёрдугаар түвшинг тус тус 8000 ба 7500 гэж тогтоосон.
Би 3-р байрнаас чиглүүлэгч дээр ижил төстэй тохиргоо хийсэн ба цорын ганц ялгаа нь grelan1 нэртэй хоёр дахь гретап интерфэйсийг серверийн чиглүүлэгч дээр нэмсэн бөгөөд энэ нь мөн br-lan bridge дээр нэмэгдсэн.
Бүх зүйл ажиллаж байна. Одоо та gretap угсралтыг эхлүүлэх боломжтой. Үүний тулд:
Би эдгээр мөрүүдийг 2-р байрны чиглүүлэгчийн /etc/rc.local дотор байрлуулсан:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Үүнийг 3-р байрны чиглүүлэгч дээрх /etc/rc.local-д нэмсэн:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Мөн сервер чиглүүлэгч дээр:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1
Клиент чиглүүлэгчийг дахин ачаалсны дараа би ямар нэгэн шалтгаанаар тэд сервертэй холбогдоогүй байгааг олж мэдсэн. Тэдний SSH руу холбогдсны дараа (аз болоход би өмнө нь sshtunnel-г тохируулсан байсан) би үүнийг олж мэдсэн WireGuard Ямар нэгэн шалтгаанаар энэ нь төгсгөлийн цэгийн маршрут үүсгэдэг боловч буруу байна. Жишээлбэл, 192.168.30.2-ын хувьд маршрутын хүснэгт нь pppoe-wan интерфэйсээр дамжин өнгөрөх маршрутыг, өөрөөр хэлбэл интернетээр дамжин өнгөрөх маршрутыг зааж өгсөн боловч түүн рүү чиглэсэн маршрутыг wg0 интерфэйсээр чиглүүлэх ёстой байсан. Энэ маршрутыг устгасны дараа холболт сэргээгдсэн. Хүчээр хэрхэн хийх талаар зааврыг хаанаас ч олж болох уу? WireGuard Би эдгээр маршрутуудыг үүсгэхээс зайлсхийж чадаагүй. Түүнээс гадна, энэ нь OpenWRT-ийн онцлог уу эсвэл ... гэдгийг би ойлгоогүй. WireGuardАсуудлыг олж мэдэхэд их цаг зарцуулалгүйгээр би хоёр чиглүүлэгч дээрх таймер дээр суурилсан скриптэд энэ замыг устгасан мөрийг нэмсэн:
route del 192.168.30.2
Дуусгах
Бүрэн татгалзал OpenVPN Би үүнийг хараахан хийж амжаагүй байна, учир нь хааяа зөөврийн компьютер эсвэл утсаараа шинэ сүлжээнд холбогдох шаардлагатай болдог бөгөөд тэдгээр дээр gretap төхөөрөмж тохируулах нь ерөнхийдөө боломжгүй байдаг. Гэсэн хэдий ч үүнээс үл хамааран би орон сууцны хооронд өгөгдөл дамжуулах хурдны давуу талыг олж авсан бөгөөд жишээлбэл, VNC ашиглах нь одоо асуудалгүй болсон. Пинг бага зэрэг буурсан боловч илүү тогтвортой болсон:
Хэрэглэхдээ OpenVPN:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms
Хэрэглэхдээ WireGuard:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms
Ойролцоогоор 61.5 мс-ийн VPS-ийн өндөр ping нь илүү их нөлөөлдөг
Гэсэн хэдий ч хурд мэдэгдэхүйц нэмэгдсэн. Тиймээс чиглүүлэгч-сервертэй орон сууцанд миний интернетийн холболтын хурд 30 Mbps, бусад орон сууцанд 5 Mbps байна. Түүнээс гадна, ашиглалтын явцад OpenVPN iperf-ийн заалтын дагуу би сүлжээнүүдийн хооронд 3,8 Mbps-ээс дээш өгөгдөл дамжуулах хурдыг олж чадаагүй байна. WireGuard үүнийг мөн адил 5 Мбит/сек хүртэл "шахсан".
Тохиргоо WireGuard VPS дээр[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>
[Үе тэнгийнхэн]
Нийтийн Түлхүүр = <VPN_1_MS_PUBLIC_KEY>
Зөвшөөрөгдсөн IP = 192.168.30.2/32
[Үе тэнгийнхэн]
Нийтийн Түлхүүр = <VPN_2_MK2_PUBLIC_KEY>
Зөвшөөрөгдсөн IP = 192.168.30.3/32
[Үе тэнгийнхэн]
Нийтийн Түлхүүр = <VPN_2_MK3_PUBLIC_KEY>
Зөвшөөрөгдсөн IP = 192.168.30.4/32
Тохиргоо WireGuard MS дээр (/etc/config/network файлд нэмэгдсэн)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.2/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - сервер
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option listen_port '51821'
list addresses '192.168.31.1/24'
option auto '1'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list allowed_ips '192.168.31.2'
config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list allowed_ips '192.168.31.3'
Тохиргоо WireGuard MK2 дээр (/etc/config/network файлд нэмэгдсэн)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.3/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list addresses '192.168.31.2/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
Тохиргоо WireGuard MK3 дээр (/etc/config/network файлд нэмэгдсэн)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.4/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list addresses '192.168.31.3/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
Хоёрдугаар түвшний VPN-ийн тайлбарласан тохиргоонд би үйлчлүүлэгчдэд зааж өгнө WireGuard 51821 порт. Энэ нь шаардлагагүй байх ёстой, учир нь үйлчлүүлэгч ямар ч үнэгүй, давуу эрхгүй портоос холболт үүсгэх болно, гэхдээ би 51821 порт руу ирж буй UDP холболтоос бусад бүх чиглүүлэгчийн wg0 интерфэйс дээрх бүх ирж буй холболтыг хаахын тулд үүнийг ингэж хийсэн.
Нийтлэл хэн нэгэнд хэрэг болно гэж найдаж байна.
PS Мөн миний сүлжээнд шинэ төхөөрөмж гарч ирэх үед WirePusher программ дээр миний утас руу PUSH мэдэгдэл илгээдэг скриптээ хуваалцахыг хүсч байна. Скриптийн холбоос энд байна: .
UPDATE: Тохиргоо OpenVPN-серверүүд болон үйлчлүүлэгчид
OpenVPN- сервер
client-to-client
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key
dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzoOpenVPN-үйлчлүүлэгч
client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind
ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem
comp-lzo
persist-tun
persist-key
verb 3 Би гэрчилгээ үүсгэхийн тулд easy-rsa ашигласан
Эх сурвалж: www.habr.com
